Professional Documents
Culture Documents
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 3
NDICE
Presentacin Red de contenidos Unidad de aprendizaje 1 Implementacin del servicio FTP y RRAS TEMA 1 TEMA 2 TEMA 3 : Servicio FTP : Servicio RRAS : Traduccin de Direccin de Red 7 15 31 5 6
Unidad de aprendizaje 4 Fundamentos de Seguridad de Red TEMA 6 TEMA 7 TEMA 8 TEMA 9 : Implementacin de seguridad con GPOAccelerator : Implementacin de Microsoft Baseline Security Analyzer : Asegurando los servidores Web : Administracin de Windows Server Update Service 100 112 120 147
Unidad de aprendizaje 6 Administracin Avanzada del Directorio Activo TEMA 11 TEMA 12 : Servidor RODC : Introduccin a Windows Server Core 184 195
CIBERTEC
CARRERAS PROFESIONALES
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 5
PRESENTACIN
Sistemas Operativos es un curso que pertenece a la lnea de infraestructura TI y se dicta en las carreras de Redes y Comunicaciones. Brinda un conjunto de conocimientos tericos y prcticos que permite a los alumnos administrar la plataforma Windows Server 2008. El manual para el curso ha sido diseado bajo la modalidad de unidades de aprendizaje, las que se desarrollan durante semanas determinadas. En cada una de ellas, hallar los logros, que debe alcanzar al final de la unidad; el tema tratado, el cual ser ampliamente desarrollado; y los contenidos, que debe desarrollar, es decir, los subtemas. Por ltimo, encontrar las actividades que deber desarrollar en cada sesin, que le permitirn reforzar lo aprendido en la clase.
El curso es, eminentemente, prctico: construido como un instrumento de trabajo. Por ello, la participacin activa de los alumnos es fundamental durante el desarrollo de este curso, a fin de obtener la experiencia, prctica y suficiencia terica que se necesita para un eficiente desenvolvimiento profesional. Por lo mismo, contar con el apoyo y gua del profesor, quien lo acompaar en el desarrollo del presente manual.
CIBERTEC
CARRERAS PROFESIONALES
RED DE CONTENIDOS
Sistemas Operativos
Servicio FTP
Servicio RRAS
NAT
IPSec
Sistemas Operativos
Terminal Server
Administracin de WSUS
Implementacin de MBSA
Terminal Server
Servidor RODC
Servidor Core
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 7
UNIDAD DE APRENDIZAJE
1
TEMA
TEMARIO
Servicio FTP Servicio RRAS Traduccin de Direcciones de Red
ACTIVIDADES PROPUESTAS
Los alumnos: Eligen que tipo de servidor FTP deben implementar en la red. Configuran el Servidor FTP annimo y autentificado. Descargan archivos desde el Servidor SFTP usando clientes FTPs.
CIBERTEC
CARRERAS PROFESIONALES
1.
SERVICIO FTP
1.1 WINDOWS 2008 FTP SERVER Este servidor FTP trabaja usando el protocolo FTP, que forma parte del pila TCP/IP, diseado para transferir archivos entre dos computadores en Internet. Ambos computadores deben soportar sus respectivos roles FTP: uno debe ser el cliente FTP y el otro debe ser un servidor FTP. Los archivos se almacenan en el servidor FTP, que ejecuta el servicio FTP. Los equipos remotos se pueden conectar utilizando el cliente FTP y leer archivos del servidor FTP, copiar o enviar archivos al servidor FTP. Un servidor FTP se asemeja a un servidor HTTP (es decir, un servidor Web) en que se puede comunicar con l mediante un protocolo de Internet. Sin embargo, un servidor FTP no ejecuta las pginas Web; slo enva y recibe los archivos a los equipos remotos. Puede configurar Internet Information Services (IIS) para funcionar como un servidor FTP. Esto permite a otros equipos conectarse al servidor y transferir archivos desde o hacia el servidor FTP. Por ejemplo, puede configurar IIS para que acte como un servidor FTP si est alojando sitios Web en el equipo y desea que usuarios remotos puedan actualizar el contenido de sus Sitios Webs. 1.2 TIPOS DE ACCESO AL SERVIDOR FTP 1.2.1 Servidor FTP annimo Los Servidores FTP annimos le permiten al usuario ingresar al servidor FTP sin tener una cuenta creada en el servidor, ni contrasea que lo identifiquen. Usualmente, el nombre de usuario para conectarse de forma annima es "anonymous". Los servidores FTP annimos ofrecen sus servicios, de forma libre, a cualquier usuario, sin necesidad de una cuenta de usuario. Es una forma cmoda de que mltiples usuarios puedan acceder a los archivos del FTP, sin que el administrador deba crear cuentas para cada uno. En general, entrar a un servidor FTP de forma annima tiene ciertas limitaciones (menos privilegios) que un usuario normal. Por ejemplo, slo se pueden descargar archivos, y no se puede subir o modificar stos. 1.2.2 Servidor FTP autenticado. El FTP Autenticado se utiliza para transferir archivos al servidor FTP, enviar y recibir archivos hacia el servidor para luego, hacerlos pblicos o privados. Por ejemplo, si queremos actualizar pginas webs de un Sitio Web, habra que enviarlas usando el servicio FTP. Pero, por otro lado, no nos gustara que cualquiera pudiese acceder a ellas para cambiarlas o eliminarlas. Por
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 9
eso el FTP autenticado, solo permite el acceso por medio de un usuario y contrasea. 1.3 TIPOS DE MODOS DEL SITIO FTP IIS introduce 3 modos para sitio FTP: 1.3.1 Modo de usuario sin aislamiento No asla usuarios, este modo no habilita aislamiento de usuario FTP y funciona en todas las versiones anteriores de IIS. 1.3.2 Modo de usuario con aislamiento Este modo autentifica a los usuarios contra cuentas locales o de dominio para que puedan tener acceso al directorio principal que coincide con su nombre de usuario. Todos los directorios particulares de los usuarios se encuentran debajo de un directorio raz nico FTP donde se coloca y donde se limita cada usuario a su directorio particular. A los usuarios no se les permite desplazarse fuera de ste. 1.3.3 Modo de usuario con aislamiento integrado con el Directorio Activo Los usuarios aislados que utilizan Directorio Activo, autentifican sus credenciales de usuario contra un contenedor correspondiente del Directorio Activo, se requiere grandes cantidades de tiempo y de procesamiento.
4. CONFIGURACIN DEL SERVIDOR FTP 7.5 CON AISLAMIENTO DE USUARIO SOBRE SSL.
4.1 CREA 2 USUARIOS PARA HACER LAS PRUEBAS 1. Ejecute desde el smbolo del sistema el siguiente comando: net user /add jurbina P@ssw0rd net user /add dmartinez P@ssw0rd
CIBERTEC
CARRERAS PROFESIONALES
10
4.3 CREA EL CERTIFICADO-AUTOFIRMADO SSL. 1. Inicie Internet Information Services 7.0 Manager.
2. Seleccione el servidor, luego haga 2 clics en Server Certificates, del men Actions seleccione la opcin Create Self-Signed CertificateSites. 3. En la ventana Specify Friendly Name escriba el nombre del certificado srv- nps-01 y luego clic en Ok 4.4 CREA EL FTP SITE Y HABILITA SSL USANDO EL IIS 7.0 MANAGER. 1. Inicie Internet Information Services 7.0 Manager.
2. Despliegue el nodo del servidor, seleccione Sites, haga clic-derecho sobre Add FTP Site.
CARRERAS PROFESIONALES CIBERTEC
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 11
3. En la ventana Site Information escriba el nombre del FTP Site name y ubique el directorio FTP_Site, luego clic en Next.
4. En la ventana Binding and SSL Settings, seleccione Allow SSL, en la opcin SSL Certificate:, seleccione srv-nps-01 y luego clic en Next. 5. En la ventana Authentication and Authorization Information, seleccione Authentication Basic y en Authorization seleccione All Users con los permisos de Lectura y Escritura , luego clic en Finish. 4.5 Configura el aislamiento de usuario y la autorizacin de acceso para los usuarios Juan Urbina y Daniel Martinez. 1. Seleccione el Site FTP Contoso, en el panel de la derecha haga 2 clics en FTP User Isolation y configure las opciones que ve en la imagen.
CIBERTEC
CARRERAS PROFESIONALES
12
2. Seleccione el directorio FTP de jurbina y luego clic en FTP Authorization Rules, seleccione la regla y haga clic en Edit. 3. En la ventana Edit Allow Authorization Rule, seleccione Specified users y escriba jurbina. Haga el mismo procedimiento para el usuario dmartinez.
5. CONFIGURACIN DEL CLIENTE FTP FiLeZiLLA 1. Ejecute el programa FileZilla, haga clic en el men File, seleccione Site Manager, en la ventana Site Manager, haga clic en New Site y escribe jurbina. 2. Configure los siguientes datos:
Host: srv-nps-01 Servertype: FTPES FTP over explicit TLS/SSL User: jurbina Password: P@ssw0rd
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 13
CIBERTEC
CARRERAS PROFESIONALES
14
Resumen
El Servidor FTP permite que los usuarios puedan transmitir de forma rpida informacin a travs de la Internet. El servidor FTP annimo solo permite la descarga de archivos. El Servidor FTP autenticado permite la descarga y envio de archivos. El Servidor FTP de Microsoft soporta 3 tipos de modo de aislamiento: modo de usuario sin aislamiento, modo de usuario con aislamiento, y modo de usuario con aislamiento integrado al Directorio Activo. Los clientes FTPs pueden ser de modo grfico o texto. Para establecer una conexin con el Servidor FTP desde el smbolo del Sistema escribe FTP Direccin_IP. Para implementar el Servidor FTP sobre SSL debe actualizar el IIS 7.0 a la versin IIS 7.5 El Servidor FTP sobre SSL slo soporta clientes FTP de entorno grfico.
Si desea saber ms acerca de estos temas, puede consultar las siguientes pginas. http://support.microsoft.com/kb/555018/en-us En esta pgina, hallar informacin de los modos de aislamiento que soporta el Servidor FTP. http://es.wikipedia.org/wiki/FTPS En esta pgina, hallar informacin de los tipos ms comunes de FTP/SSL.
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 15
UNIDAD DE APRENDIZAJE
1
TEMA
2
IMPLEMENTACIN DEL SERVICIO FTP Y RRAS
LOGRO DE LA UNIDAD DE APRENDIZAJE
Al trmino de la unidad, los alumnos podrn implementar y configurar los Servicios FTP y RRAS usando el Servidor Windows 2008. Al trmino de la unidad, los alumnos podrn transferir archivos, implementar ruteo dentro de la red y brindar acceso a Internet usando el Servidor Windows 2008.
TEMARIO
Windows 2008 FTP Server Fundamentos del Servicio RRAS Introduccin a NAT
ACTIVIDADES PROPUESTAS
Los alumnos: Instalan el servicio RRAS de Windows 2008 Server. Configuran el servicio RRAS como Router. Deshabilitan el enrutamiento.
CIBERTEC
CARRERAS PROFESIONALES
16
1.
Un adaptador LAN o WAN con controlador WHQL firmado. Uno o ms mdems compatibles y un puerto COM disponible. Una tarjeta adaptadora de mltiples puertos, para conseguir un rendimiento adecuado con mltiples conexiones remotas. Una tarjeta inteligente X.25 (si va a utilizar una red X.25). Una tarjeta adaptadora ISDN (RDSI) (si va a utilizar una lnea ISDN (RDSI)). Una tarjeta inteligente X.25 (si va a utilizar una red X.25). Una tarjeta adaptadora ISDN (RDSI) (si va a utilizar una lnea ISDN (RDSI)).
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 17
1.2 ESCENARIO DE ENRUTAMIENTO 1.2.1 Conexin enrutada entre 2 LANs La ilustracin siguiente muestra una configuracin de red simple con un servidor que ejecuta Enrutamiento y acceso remoto que conecta dos segmentos de LAN (redes A y B). En esta configuracin, los protocolos de enrutamiento no son necesarios porque el enrutador est conectado a todas las redes a las que necesita enrutar paquetes.
1.2.2 Conexin enrutada con Internet Este escenario describe una red de oficina pequea o domstica (SOHO, Small Office Home Office) que establece conexin con Internet mediante una conexin enrutada. Una red SOHO tiene las siguientes caractersticas: Un segmento de red. Un nico protocolo: TCP/IP Conexiones de marcado a peticin o de vnculo dedicado con el proveedor de servicios Internet (ISP). En la siguiente ilustracin, se muestra un ejemplo de una red SOHO.
CIBERTEC
CARRERAS PROFESIONALES
18
El enrutador de Windows 2008 est configurado con un adaptador de red para los medios utilizados en la red domstica (por ejemplo, Ethernet), y un adaptador ISDN (RDSI) o un mdem analgico. Puede utilizar una lnea concedida u otra tecnologa de conexin permanente, como xDSL y mdems por cable, pero este escenario describe la configuracin ms usual que utiliza un vnculo de acceso telefnico a un ISP local. 1.3 PROTOCOLOS DE ENRUTAMIENTO IP En entornos de enrutamiento IP dinmicos, la informacin de enrutamiento IP se propaga mediante protocolos. Los dos protocolos de enrutamiento IP ms comunes utilizados en intranets son el Protocolo de informacin de enrutamiento (RIP, Routing Information Protocol) y Abrir la ruta de acceso ms corta primero (OSPF, Open Shortest Path First ). Puede ejecutar varios protocolos de enrutamiento en la misma intranet. En este caso, debe configurar qu protocolo de enrutamiento es el origen preferido de las rutas aprendidas mediante la configuracin de niveles de preferencia. El protocolo de enrutamiento preferido constituye el origen de la ruta que se agrega a la tabla de enrutamiento, independientemente, de la mtrica de la ruta aprendida. Por ejemplo, si la mtrica de una ruta OSPF aprendida es 5 y la mtrica de la ruta aprendida RIP correspondiente es 3, y se prefiere el protocolo de enrutamiento OSPF, la ruta OSPF se agrega a la tabla de enrutamiento IP y la ruta RIP se pasa por alto.
2.
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 19
3. En la ventana Select Server Roles, seleccione Network Policy and Access Services, y haga clic en Next.
CIBERTEC
CARRERAS PROFESIONALES
20
5. En la ventana Select Role Services, seleccione Routing and Remote Access Services, haga clic en Next.
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 21
2.2 CONFIGURACIN DEL ROUTER 1. Ejecute Routing and Remote Access, clic derecho sobre el Servidor (Local), seleccione Configure and Enable Routing and Remote Access.
CIBERTEC
CARRERAS PROFESIONALES
22
2. En el asistente de configuracin de Routing and Remote Access Server, haga clic en Next.
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 23
5. En la ventana Completing the Routing and Remote Access Server Setup Wizard, clic en Finish.
CIBERTEC
CARRERAS PROFESIONALES
24
2. Despliegue en el Servidor (local), luego despliegue IPv4, clic derecho sobre General, y seleccione New Interface.
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 25
1. En la ventana New Interface for IP, seleccione la interface correcta, en este caso Lan2.
CIBERTEC
CARRERAS PROFESIONALES
26
3. En la ventana New Routing Protocol, seleccione RIP Version luego clic en Ok. 4. Usted haga clic derecho sobre RIP, y seleccione New Interface.
5. En la ventana New Interface for RIP, seleccione la interface en la cual funcionara RIP, y luego 2 veces clic en Ok.
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 27
2.3 DESHABILITACIN DEL ENRUTAMIENTO. 1. Ejecute Routing and Remote Access. 2. En el rbol de la consola, haga clic derecho sobre su servidor. 3. Seleccione Disable Routing and Remote Access. 4. En la caja de dilogo emergente, pulse el botn Yes.
CIBERTEC
CARRERAS PROFESIONALES
28
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 29
Resumen
El servicio de enrutamiento y acceso remoto forma parte del Servidor 2008. El Servicio RRAS brinda enrutamiento de protocolos a travs de redes LAN, y WAN. El servicio RRAS nos permite implementar una infraestructura de VPN y NAT. La implementacin de los servicios de RRAS necesita como mnimo 2 interfaces de red.
Si desea saber ms acerca de estos temas, puede consultar la siguiente pgina. http://technet.microsoft.com/en-us/library/cc730711%28WS.10%29.aspx En esta pgina, hallar informacin de las nuevas caractersticas de Routing and Remote Access en Windows Server 2008.
CIBERTEC
CARRERAS PROFESIONALES
30
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 31
UNIDAD DE APRENDIZAJE
1
TEMA
3
IMPLEMENTACIN DEL SERVICIO FTP Y RRAS
LOGRO DE LA UNIDAD DE APRENDIZAJE
Al trmino de la unidad, los alumnos, podrn implementar y configurar los Servicios FTP y RRAS usando el Servidor Windows 2008. Al trmino de la unidad, los alumnos, podrn transferir archivos, implementar ruteo dentro de la red, y brindar acceso a Internet usando el Servidor Windows 2008.
TEMARIO
Windows 2008 FTP Server Fundamentos del Servicio RRAS Introduccin a NAT
ACTIVIDADES PROPUESTAS
Los alumnos: Configuran RRAS para brindar acceso a Internet a las computadoras de la red Interna. Habilitan el acceso a Internet usando NAT. Configuran el protocolo TCP/IP en la interface de red de los servidores y estaciones de trabajo.
CIBERTEC
CARRERAS PROFESIONALES
32
1. INTRODUCCIN A NAT
En la actualidad ms hogares y pequeas empresas agregan equipos a la red y encuentran una herramienta, extremadamente, poderosa para compartir recursos. Una conexin a Internet es uno de los ms preciados recursos en la red y esta puede ser compartida. Para hacer esto y disfrutar una comoda, fcil administracin, de la red casera o una pequea empresa, los gateways de Internet estn siendo implementados. Los gateways de Internet ofrecen NAT (Network address translation) para conectar mltiples computadoras a la Internet y compartir una sola direccin IP Pblica.
2. FUNDAMENTOS DE NAT
La Traduccin de Direcciones de Red (NAT) es un estndar IETF (Internet Engineering Task Force en espaol Grupo de Trabajo en Ingeniera de Internet) usado para permitir a mltiples computadoras de una red privada (direcciones privadas como 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) compartir una sola direccin IP Pblica. NAT esta siendo implementado, porque las direcciones IPv4 pblicas estn siendo escasas.
3. IMPLEMENTACIN DE NAT
3.1 CONFIGURACIN EN EL SERVER 1. Clic en Start, seleccione Administrative Tools, y luego Routing and Remote Access.
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 33
2. En el asistente de configuracin de Routing and Remote Access Server, haga clic en Next.
CIBERTEC
CARRERAS PROFESIONALES
34
4. En la ventana de NAT Internet Connection, seleccione la interface que usar para conectarse a Internet, en este caso Wan, y haga clic en Next.
5. En la ventana Completing the Routing and Remote Access Server Setup Wizard, lea el resumen de la configuracin, y luego clic en Finish.
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 35
2. Ejecute Internet Explorer y trate de navegar por Internet, tambin puede realizar pruebas con el comando ping, tracert, etc.
CIBERTEC
CARRERAS PROFESIONALES
36
Resumen
La implementacin de NAT permite compartir el acceso a Internet. NAT permite que las computadoras que tienen direcciones IPs privadas acceden a Internet usando una direccin IP Pblica. El uso de NAT brinda seguridad a las computadoras de la red Interna, debido a que no estn expuestas en Internet. La implementacin de NAT necesita 2 interfaces de red, una para la red interna y otra para Internet.
Si desea saber ms acerca de NAT, puede consultar la siguiente pgina. http://www.faqs.org/rfcs/rfc1631.html En esta pgina, hallar informacin detallada sobre NAT.
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 37
UNIDAD DE APRENDIZAJE
2
TEMA
TEMARIO
Introduccin a las VPNs
ACTIVIDADES PROPUESTAS
Los alumnos: Instalan, configuran, y administran el Servidor VPN. Configuran los clientes VPNs. Realizan y prueban conexiones seguras desde los clientes VPN hacia el Servidor VPN.
CIBERTEC
CARRERAS PROFESIONALES
38
Los usuarios que trabajan en casa o que estn de viaje pueden usar conexiones VPN para establecer una conexin de acceso remoto al servidor de una organizacin mediante la infraestructura que proporciona una red pblica como Internet. Desde la perspectiva del usuario, la red privada virtual
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 39
es una conexin punto a punto entre el equipo (el cliente VPN) y el servidor de la organizacin (el servidor VPN). La infraestructura exacta de la red compartida o pblica es irrelevante dado que, lgicamente, parece como si los datos se enviaran a travs de un vnculo privado dedicado. Las organizaciones tambin pueden utilizar conexiones VPN para establecer conexiones enrutadas con oficinas alejadas, geogrficamente, o con otras organizaciones a travs de una red pblica como Internet al mismo tiempo que realizan comunicaciones seguras. Una conexin VPN enrutada a travs de Internet funciona como un vnculo de WAN dedicado. Gracias al acceso remoto y a las conexiones enrutadas, una organizacin puede utilizar conexiones VPN para realizar conexiones a larga distancia, o lneas concedidas para conexiones locales o con un Proveedor de servicios Internet (ISP). En la familia Microsoft Windows 2008 hay tres tipos de tecnologa VPN basada en el Protocolo punto a punto (PPP): a. Protocolo de tnel punto a punto (PPTP) PPTP utiliza mtodos de autenticacin PPP de nivel de usuario y cifrado punto a punto de Microsoft (MPPE) para cifrar los datos. b. Protocolo de tnel de capa 2 (L2TP) con seguridad de protocolo Internet (IPSec) L2TP utiliza mtodos de autenticacin PPP de nivel de usuario y certificados de nivel de equipo con IPSec para cifrar los datos, o IPsec en modo tnel, en el que IPsec proporciona encapsulacin (slo para el trfico IP). c. Protocolo de tnel de socket seguro (SSTP) SSTP es la nueva forma de tnel de VPN con caractersticas que permiten al trfico pasar a travs de los firewalls que bloquean el trfico PPTP y L2TP. SSTP brinda un mecanismo para encapsular trfico PPP sobre el canal SSL del protocolo HTTPS
CIBERTEC
CARRERAS PROFESIONALES
40
2.2 CONECTAR REDES A TRAVS DE INTERNET Cuando las redes estn conectadas a travs de Internet, un enrutador reenva paquetes a otro enrutador a travs de una conexin VPN. Esto se conoce como una conexin VPN de enrutador a enrutador. Para los enrutadores, la red privada virtual funciona como un vnculo de la capa de vnculo de datos. La ilustracin siguiente muestra la conexin de redes a travs de Internet.
2.2.1 Usar vnculos WAN dedicados En lugar de utilizar un vnculo WAN dedicado de larga distancia y caro entre las distintas oficinas de la compaa, los enrutadores de
CARRERAS PROFESIONALES CIBERTEC
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 41
las oficinas se conectan a Internet mediante vnculos WAN dedicados locales con un ISP local. As, cualquiera de los enrutadores inicia una conexin VPN de enrutador a enrutador a travs de Internet. Una vez conectados, los enrutadores pueden reenviarse entre s transmisiones de protocolos enrutadas o directas mediante la conexin VPN. 2.3 VPN BASADAS EN INTRANET Las conexiones de red privada virtual (VPN) basadas en intranet aprovechan la conectividad IP en la intranet de una organizacin. 2.3.1 Acceso remoto a travs de una intranet En las intranets de algunas organizaciones, los datos de un departamento (por ejemplo, el departamento de recursos humanos) son tan confidenciales que la red del departamento est, fsicamente, desconectada de la intranet del resto de la organizacin. Aunque as se protegen los datos del departamento, se crea un problema de acceso a la informacin por parte de aquellos usuarios que no estn, de forma fsica, conectados a la red independiente. Mediante una conexin VPN, la red del departamento est, fsicamente, conectada a la intranet de la organizacin, pero se mantiene separada gracias a un servidor VPN. El servidor VPN no proporciona una conexin enrutada directa entre la intranet de la organizacin y la red del departamento. Los usuarios de la intranet de la organizacin que disponen de los permisos apropiados pueden establecer una conexin VPN de acceso remoto con el servidor VPN y tener acceso a los recursos protegidos de la red confidencial del departamento. Adicionalmente, para mantener la confidencialidad de los datos, se cifran todas las comunicaciones realizadas a travs de la conexin VPN. Para aquellos usuarios que no tienen derechos para establecer una conexin VPN, la red del departamento est oculta a la vista. La ilustracin siguiente muestra el acceso remoto a travs de una intranet.
CIBERTEC
CARRERAS PROFESIONALES
42
Tambin, puede conectar dos redes a travs de una intranet mediante una conexin VPN de enrutador a enrutador. Las organizaciones que tienen departamentos en diferentes ubicaciones, cuyos datos son altamente confidenciales, pueden utilizar una conexin VPN de enrutador a enrutador para comunicarse entre s. Por ejemplo, el departamento financiero podra necesitar comunicarse con el departamento de recursos humanos para intercambiar informacin acerca de las nminas. Ambos, a la vez, estn conectados a la intranet comn con equipos que pueden actuar como enrutadores VPN. Una vez establecida la conexin VPN, los usuarios de los equipos de ambas redes pueden intercambiar datos confidenciales a travs de la intranet corporativa. La ilustracin siguiente muestra la conexin de redes a travs de una intranet.
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 43
remoto de Windows XP y la compatibilidad de servidor VPN con L2TP est integrada en los miembros de la familia Windows Server 2008. L2TP se instala con el protocolo TCP/IP. En funcin de las opciones disponibles al ejecutar el Asistente para la instalacin del servidor de enrutamiento y acceso remoto, L2TP se configura para 5 128 puertos L2TP. 3.1 ENCAPSULACIN La encapsulacin de paquetes L2TP/IPSec consta de dos niveles: 3.1.1 Encapsulacin L2TP Las tramas PPP (que consisten en un datagrama IP o un datagrama IPX) se empaquetan con un encabezado L2TP y un encabezado UDP. 3.1.2 Encapsulacin IPSec El mensaje L2TP resultante se empaqueta a continuacin con un encabezado y un finalizador de Carga de seguridad de encapsulacin (ESP, Encapsulating Security Payload) de IPSec, un finalizador de autenticacin IPSec que proporciona autenticacin e integridad de mensajes y un encabezado IP final. El encabezado IP contiene las direcciones IP de origen y de destino que corresponden al cliente VPN y al servidor VPN. 3.2 CIFRADO El mensaje L2TP se cifra con el Estndar de cifrado de datos (DES, Data Encryption Standard) o Triple DES (3DES) mediante claves de cifrado generadas en el proceso de negociacin de Intercambio de claves de Internet (IKE, Internet Key Exchange).
1. Ejecute Routing and Remote Access desde el men Administrative Tools. 2. En el panel izquierdo haga clic derecho sobre su servidor y; luego clic en Configure and Enable Routing and Remote Access.
CIBERTEC
CARRERAS PROFESIONALES
44
3. En pantalla de bienvenida de Routing and Remote Access Server Setup Wizard, haga clic en Next.
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 45
4. En Configuration, haga clic en Remote access (dial-up or VPN) y luego, clic en Next.
CIBERTEC
CARRERAS PROFESIONALES
46
7. En la ventana IP Address Assignment, seleccione From a specified range of addresses, y haga clic en Next.
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 47
8. En la pgina Address Range Assignment, haga clic en New. 9. En el campo Start IP address, tipee la direccin que le asigne su instructor, y luego en la caja Number of addresses, ingrese 5.
10. Usted haga clic en OK. 11. En la pgina Address Range Assignment, haga clic en Next.
12. En la pgina Managing Multiple Remote Access Servers, verifique que est seleccionada la opcin No. Luego, use Routing and
CIBERTEC
CARRERAS PROFESIONALES
48
13. En la ventana Completing the Routing and remote Access Server Setup Wizard, clic en Finish.
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 49
15. Si es necesario, haga clic en OK para cerrar el mensaje Routing and Remote Access, luego cierre Routing and Remote Access.
4.1 BRINDE EL PERMISO DE ACCESO A LA RED PARA EL USUARIO 1. Inicialice el ADUC, haga clic derecho sobre el usuario Juan Urbina, y seleccione properties.
2. En la ventana de propiedades del usuario, seleccione Dial-in, luego clic en Allow Access, finalmente clic en Ok.
CIBERTEC
CARRERAS PROFESIONALES
50
4.2 CONFIGURA EL CLIENTE VPN 1. Clic en el Menu Inicio, seleccione Panel de Control, clic en Redes e Internet.
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 51
3. En la ventana Centro de redes y recursos compartidos vaya al panel izquierdo y haga clic en Configurar una conexin o red.
4. En la ventana Configurar una conexin o red, seleccione Conectarse a un rea de trabajo, y clic en Siguiente.
CIBERTEC
CARRERAS PROFESIONALES
52
6. En la ventana Es necesaria una conexin a Internet para usar una conexin VPN, seleccione Configurar ms tarde una conexin a Internet. 7. En la ventana Escribe la direccin de Internet a la que se conectar ingrese los siguientes datos: a. Direccin de Internet: IP del Servidor VPN b. Nombre del destino: Ciber VPN
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 53
8. En la ventana Escribe el nombre de usuario y la contrasea, Escribe el nombre del usuario al que se le otorg el permiso de acceso a la red y la contrasea, luego clic en Crear.
9. Una vez creada la conexin VPN, haga clic en administrar conexiones de red, 2 clics en Ciber VPN
CIBERTEC
CARRERAS PROFESIONALES
54
4.3 VERIRIFCAR LA CONEXIN VPN 1. En una ventana de Smbolo del Sistema, digite ipconfig y presione <Enter>.
2. Note que hay un nuevo adaptador de red PPP Ciber VPN. La direccin IP fue asignada por el rango de direcciones estticas del servidor VPN. 3. Cierre la ventana Smbolo del Sistema. 4. En la barra de tareas, has doble clic al cono "Conexin VPN".
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 55
CIBERTEC
CARRERAS PROFESIONALES
56
Resumen
La implementacin de una Red VPN permite extender la red de la empresa. VPN se puede usar para enlazar oficinas que estn, geogrficamente, alejadas. Los 3 protocolos de tnel soportados por Windows 2008 Server son: PPTP, L2TP, y SSTP. El protocolo PPTP usa el cifrado MPPE, L2TP usa IPSec, y SSTP usa SSL. El nuevo protocolo de tnel SSTP es soportado en Windows 2008 Server. El protocolo SSTP permite que pueda fluir el trfico de datos a travs del firewall.
Si desea saber ms acerca de VPN, puede consultar la siguiente pgina. http://technet.microsoft.com/en-us/network/bb545442.aspx En esta pgina, hallar informacin detallada sobre VPN.
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 57
UNIDAD DE APRENDIZAJE
3
TEMA
TEMARIO
Introduccin a IPSec Implementacin de IPSec Supervisar IPSec
ACTIVIDADES PROPUESTAS
Los alumnos: Determinan que mtodo de encriptacin de IPSec deben usar en la Red. Eligen que directiva de seguridad de IPSec se adecua a sus necesidades de seguridad. Implementan escenarios con IPSec. Configuran el filtrado con las directivas de seguridad de IPSec. Verifican la seguridad de la red con el uso de Sniffer. Supervisan IPSec mediante el Monitor de Seguridad IP.
CIBERTEC
CARRERAS PROFESIONALES
58
1.
INTRODUCCIN A IPSEC
1.1 CONCEPTOS DE IPSEC Internet Protocol Security (IPSec) es un entorno de estndares abiertos para garantizar comunicaciones privadas y seguras a travs de redes Internet Protocol (IP), mediante el uso de servicios de seguridad basados en cifrado. IPSec soporta autenticacin de sistemas a nivel de red, autenticacin del origen de los datos, integridad de datos, confidencialidad de datos (encriptacin) y proteccin frente a reenvo. La implementacin de IPSec de Microsoft se basa en estndares desarrollados por el grupo de trabajo de IPSec de la IETF (Internet Engineering Task Force). IPSec autentifica los equipos y cifra los datos para su transmisin entre hosts en una red, intranet o extranet, incluidas las comunicaciones entre estaciones de trabajo y servidores, y entre servidores. El objetivo principal de IPSec es proporcionar proteccin a los paquetes IP. IPSec est basado en un modelo de seguridad de extremo a extremo, lo que significa que los nicos hosts que tienen que conocer la proteccin de IPSec son el que enva y el que recibe. Cada equipo controla la seguridad por s mismo en su extremo, bajo la hiptesis de que el medio por el que se establece la comunicacin no es seguro.
IPSec consta de dos protocolos que han sido desarrollados para proporcionar seguridad a nivel de paquete, tanto para IPv4 como para IPv6: Authentication Header (AH): proporciona integridad, autenticacin y no repudio si se eligen los algoritmos criptogrficos apropiados.
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 59
AH est dirigido a garantizar integridad sin conexin y autenticacin de los datos de origen de los datagramas IP. Para ello, calcula un Hash Message Authentication Code (HMAC) a travs de algn algoritmo hash operando sobre una clave secreta, el contenido del paquete IP y las partes inmutables del datagrama. Este proceso restringe la posibilidad de emplear NAT, que puede ser implementada con NAT transversal. Por otro lado, AH puede proteger, opcionalmente, contra ataques de repeticin utilizando la tcnica de ventana deslizante y descartando paquetes viejos. AH protege la carga til IP y todos los campos de la cabecera de un datagrama IP excepto los campos mutantes, es decir, aquellos que pueden ser alterados en el trnsito. En IPv4, los campos de la cabecera IP mutantes (y por lo tanto no autenticados) incluyen TOS, Flags, Offset de fragmentos, TTL y suma de verificacin de la cabecera. AH opera, directamente, por encima de IP, utilizando el protocolo IP nmero 51. Una cabecera AH mide 32 bits, he aqu un diagrama de cmo se organizan:
Significado de los campos: Next header: Identifica el protocolo de los datos transferidos. Payload length: Tamao del paquete AH. RESERVED: Reservado para uso futuro (hasta entonces todo ceros). Security parameters index (SPI): Indica los parmetros de seguridad que, en combinacin con la direccin IP, identifican la asociacin de seguridad implementada con este paquete. Sequence number: Un nmero siempre creciente, utilizado para evitar ataques de repeticin. HMAC: Contiene el valor de verificacin de integridad (ICV) necesario para autenticar el paquete; puede contener relleno. Encapsulating Security Payload (ESP) proporciona confidencialidad y la opcin -altamente recomendable- de autenticacin y proteccin de integridad. El protocolo ESP proporciona autenticidad de origen, integridad y proteccin de confidencialidad de un paquete. ESP, tambin, soporta configuraciones de slo cifrado y slo autenticacin, pero utilizar cifrado sin autenticacin est altamente desaconsejado porque es inseguro. Al contrario que con AH, la cabecera del paquete IP no est protegida por ESP (aunque en ESP en modo tnel, la proteccin es proporcionada a todo el paquete IP interno, incluyendo la cabecera interna; la cabecera externa permanece sin proteger).
CIBERTEC
CARRERAS PROFESIONALES
60
ESP opera directamente sobre IP, utilizando el protocolo IP nmero 50. Un diagrama de paquete ESP:
Significado de los campos: Security parameters index (SPI): Identifica los parmetros de seguridad en combinacin con la direccin IP. Sequence number: Un nmero siempre creciente, utilizado para evitar ataques de repeticin. Payload data: Los datos a transferir. Padding: Usado por algunos algoritmos criptogrficos para rellenar por completo los bloques. Pad length: Tamao del relleno en bytes. Next header: Identifica el protocolo de los datos transferidos. Authentication data: Contiene los datos utilizados para autenticar el paquete. IPSec aumenta la seguridad de los datos de la red mediante: La autenticacin mutua de los equipos antes del intercambio de datos. IPSec puede utilizar Kerberos V5 para la autenticacin de los usuarios. El establecimiento de una asociacin de seguridad entre los dos equipos. IPSec se puede implementar para proteger las comunicaciones entre usuarios remotos y redes, entre redes e, incluso, entre equipos cliente dentro de una red de rea local (LAN). El cifrado de los datos intercambiados mediante Cifrado de datos estndar (DES, Data Encryption Standard), triple DES (3DES) o DES de 40 bits. IPSec usa formatos de paquete IP estndar en la autenticacin o el cifrado de los datos. Por tanto, los dispositivos de red intermedios, como los enrutadores, no pueden distinguir los paquetes de IPSec de los paquetes IP normales.
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 61
El protocolo, tambin, proporciona las ventajas siguientes: Compatibilidad con la infraestructura de claves pblicas. Tambin acepta el uso de certificados de claves pblicas para la autenticacin, con el fin de permitir relaciones de confianza y proteger la comunicacin con hosts que no pertenezcan a un dominio Windows en el que se confa. Compatibilidad con claves compartidas. Si la autenticacin mediante Kerberos V5 o certificados de claves pblicas no es posible, se puede configurar una clave compartida (una contrasea secreta compartida) para proporcionar autenticacin y confianza entre equipos. Transparencia de IPSec para los usuarios y las aplicaciones. Como IPSec opera al nivel de red, los usuarios y las aplicaciones no interactan con IPSec. Administracin centralizada y flexible de directivas mediante Directiva de grupo. Cuando cada equipo inicia una sesin en el dominio, el equipo recibe automticamente su directiva de seguridad, lo que evita tener que configurar cada equipo individualmente. Sin embargo, si un equipo tiene requisitos exclusivos o es independiente, se puede asignar una directiva de forma local. Estndar abierto del sector. IPSec proporciona una alternativa de estndar industrial abierto ante las tecnologas de cifrado IP patentadas. Los administradores de la red aprovechan la interoperabilidad resultante.
Dependiendo del nivel sobre el que se acte, podemos establecer dos modos bsicos de operacin de IPsec: modo transporte y modo tnel. En modo transporte, slo la carga til (los datos que se transfieren) del paquete IP es cifrada y/o autenticada. El enrutamiento permanece intacto, ya que no se modifica ni se cifra la cabecera IP; sin embargo, cuando se utiliza la cabecera de autenticacin (AH), las direcciones IP no pueden ser traducidas, ya que eso invalidara el hash. Las capas de transporte y aplicacin estn siempre aseguradas por un hash, de forma que no pueden ser modificadas de ninguna manera (por ejemplo traduciendo los nmeros de puerto TCP y UDP). El modo transporte se utiliza para comunicaciones ordenador a ordenador. Una forma de encapsular mensajes IPsec para atravesar NAT ha sido definida por RFCs que describen el mecanismo de NAT-T.
CIBERTEC
CARRERAS PROFESIONALES
62
En el modo tnel, todo el paquete IP (datos ms cabeceras del mensaje) es cifrado y/o autenticado. Debe ser entonces encapsulado en un nuevo paquete IP para que funcione el enrutamiento. El modo tnel se utiliza para comunicaciones red a red (tneles seguros entre routers, p.e. para VPNs) o comunicaciones ordenador a red u ordenador a ordenador sobre Internet.
IPSec est soportado en Windows Server 2008, Windows Server 2003, Windows 2000 Server, Windows XP, Windows Vista, y Windows 2000, y est integrado con el servicio de Directorio Activo. Las polticas IPSec se pueden asignar mediante Polticas de Grupo, lo que permite que los parmetros de IPSec se configuren a nivel de dominio, site o unidad organizativa. 1.2 DIRECTIVAS DE SEGURIDAD DE IPSEC Una directiva IPSec est formada por un conjunto de filtros acerca del trfico de red que cuando se activan, hacen que los equipos involucrados en la conversacin negocien una autenticacin entre ellos y si esta es exitosa se aplique una accin de filtrado al trfico de red, por lo general, con el propsito de que no pueda ser interceptado por terceros. El cifrado de las comunicaciones con IPSEC se implementa como una directiva, con lo cual podemos habilitarlo a nivel local, de sito, de dominio o de unidad organizativa. Existen unas directivas predeterminadas que podemos utilizar sin ninguna configuracin adicional. Client (Cliente): nicamente, aplica regla de respuesta predeterminada. sta regla obliga a nuestro equipo a responder de manera cifrada siempre que as se proponga o se requiera, pero nunca ser nuestro equipo el que inicie la conversacin de manera cifrada. Server (Servidor): Enva los datos cifrados pero admite la conversacin con clientes que no cifren sus comunicaciones. Este
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 63
modo es el recomendado si queremos que prime la comunicacin sobre la seguridad. Secure Server (Servidor Seguro): En este caso toda comunicacin ser cifrada y no permitir la comunicacin sin cifrar (excepto el trfico ICMP). Si queremos anticipar la seguridad a la comunicacin, este es el modo apropiado.
Si bien estas directivas pueden satisfacer nuestras necesidades, IPSec permite una mayor granularidad y control a travs de los filtros que se revisan ms adelante en este documento. Antes de comenzar con la implementacin hay que tener claros unos cuantos conceptos. Cuando queremos que nadie sepa lo que, por ejemplo, estamos hablando con una persona cercana podemos acordar un conjunto de reglas (protocolo) para hacerlo de manera efectiva. Esto es, el idioma que usaremos cuando queramos mantener la privacidad de la conversacin. El establecimiento de estas reglas puede llevar estos pasos: Definicin de las conversaciones que consideramos privadas (el trfico que se cifrar). Por ejemplo: conversaciones de negocios, secretos y poltica. Aplicamos un conjunto de filtros que se active al sacar uno de esos tres temas en la conversacin y que nos recuerde que debemos cambiar de idioma. Al activarse el filtro, sera bueno que antes de empezar a expresar nuestras ideas acerca de esos tres temas, nos aseguremos de que la persona que est al otro lado es de confianza negociando la autenticacin. Una vez comprobada la identidad, negociaremos el idioma a utilizar entre los que conocen uno y otro participante, o incluso podramos elegir no hablar de ese determinado tema en este paso. Esto sera la accin de filtrado Podemos, opcionalmente, ser el portavoz de un grupo de gente que habla con el portavoz de otro grupo de gente. Nuestros entornos internos son confiables, pero el canal de comunicacin entre los portavoces puede ser vulnerable. Esto sera el modo tnel. Por ltimo podramos elegir entre cifrar todo el trfico, slo el telefnico (RAS) o slo las conversaciones de lado a lado (LAN)
CIBERTEC
CARRERAS PROFESIONALES
64
2.
IMPLEMENTACIN DE IPSEC
2.1 IMPLEMENTACIN DE ESCENARIOS CON IPSEC. 2.1.1 Bloquear Ping (protocolo ICMP). 1. Seleccione Start, Administrative Tools y seleccione Local Security Policy.
2. En la ventana desplegada, ubique la opcin IP Security Policies on Local Computer, haga clic derecho sobre dicha opcin en el men contextual emergente, luego haga clic sobre Create IP Security Policy.
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 65
3. La accin anterior llamar al Asistente para directivas de seguridad IP. En la primera pantalla, slo haga clic en Next.
4. Ahora ingrese el nombre Prueba PING para la directiva que vamos a crear, posteriormente, haga clic en Next.
CIBERTEC
CARRERAS PROFESIONALES
66
6. Ya finalizando la creacin de la regla, verifque que est marcada la casilla de verificacin Edit properties y haga clic en Finish.
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 67
8. Lo anterior llama al Asistente para reglas de seguridad IP. En la pantalla de bienvenida, slo haga clic en Next.
CIBERTEC
CARRERAS PROFESIONALES
68
9. En la siguiente ventana, seleccione la regla This rule does not specify a tunnel.
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 69
11. Ahora se nos muestra la interfaz para seleccionar los filtros IP, en caso no hubiese alguno que se ajuste a nuestras necesidades, se nos da la opcin para crear agregar uno nuevo. Para el caso, haga clic en Add
12. En la ventana IP Filter List escribe el nombre del filtro (para el caso PING bloqueo). Opcionalmente, agregue una descripcin para el filtro y posteriormente, haga clic en Add (verificar que est marcada la casilla de verificacin para poder hacer uso del asistente).
CIBERTEC
CARRERAS PROFESIONALES
70
14. En la ventana de descripcin para el filtro IP nos pregunta si es Mirrored (paquetes coinciden con las direcciones de origen y destino opuestas). Deje marcado la casilla de verificacin y haga clic en Next.
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 71
CIBERTEC
CARRERAS PROFESIONALES
72
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 73
CIBERTEC
CARRERAS PROFESIONALES
74
21. Ahora en la siguiente ventana, haga clic en Add para crear una lista de accin al filtrado.
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 75
Ping Bloqueado y
CIBERTEC
CARRERAS PROFESIONALES
76
25. En la ventana Completing the Security Rule Wizard haga clic en Finish.
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 77
26. Usted haga clic en el botn OK de la ventana anterior y la ventana Local Security Policy habr quedado as:
27. Ahora has una prueba de PING a una direccin IP de la LAN. Ver lo siguiente:
28. Ahora habilite la directiva. Local Security Policy seleccione IP Security Policies on Local Computer y en la directiva llamada Prueba PING haga clic derecho y clic en Assign.
CIBERTEC
CARRERAS PROFESIONALES
78
Lo cual nos indica que la directiva IPSec funciona mediante el bloqueo del protocolo ICMP.
2.1.1 Cifrado del trfico IP (Proteccin de datos de inicio de sesin para el servidor FTP) mediante GPO. Para este ejemplo, consideraremos que ya tenemos configurado el Servidor Web (IIS) y el servidor FTP (FTP Publishing Service) de manera que no acepte conexiones annimas. Adems, estos servidores estn en el controlador de dominio (prctica que en un entorno empresarial no se recomienda) y la mquina cliente es parte del dominio (con Windows Vista Ultimate). Slo para este ejemplo, el nombre del servidor con los roles anteriormente mencionados es SERV01 y la mquina cliente es ADMWK011. Ahora consideremos que nos estamos conectando a nuestro servidor FTP (a travs de Internet Explorer) de una forma aparentemente segura.
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 79
Sin embargo, FTP no codifica las credenciales de usuario y por medio de un sniffer se puede interceptar la comunicacin tal como se muestra en la siguiente imagen:
Lo que revelara, con facilidad, el usuario y contrasea del administrador de red a un usuario no autorizado. Con IPSec podemos brindar seguridad al trfico de red que, comnmente, no tiene cifrado. Para esto se siguen los siguientes pasos (el host ADMWK011 debe estar apagado para realizar estos pasos): 1. En el servidor, seleccione la ventana Run, digite dsa.msc y pulse ok.
CIBERTEC
CARRERAS PROFESIONALES
80
2. Lo anterior ocasionar la apertura del Active Directory Users and Computers (ADUC). En esta ventana Cree el OU ComSeg.
3. Ya con el OU ComSeg creado, Seleccione al contenedor Computers, ello desplegar los equipos que forman parte del dominio en el panel derecho. En este panel seleccione y arrastre al equipo ADMWK011 hacia el OU ComSeg (Se le pedir una confirmacin previa).
4. El equipo ADMWK011 pasar a ser miembro del OU ComSeg, al finalizar el paso anterior.
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 81
5. Nuevamente, en el servidor seleccione Start, Run, y en la ventana Run, Escribe gpmc.msc y presione Enter.
6. Ahora, tendr abierta la ventana de Group Policy Management, En ella, despliegue el bosque, posteriormente, el dominio y despliegue el OU Domain Controllers. Finalmente, haga clic derecho sobre Default Domain Controllers Policy y seleccione Edit.
7. En la ventana Group Policy Management Editor despliegue el nodo Computer Settings, luego despliegue Policies, adems, despliegue Windows Settings, abre Security Settings y finalmente, seleccione IP Security Policies on Active Directory.
CIBERTEC
CARRERAS PROFESIONALES
82
8. En el panel derecho haga clic derecho sobre la poltica Server y seleccione Properties.
9. Ahora desmarque la lista del filtro <Dynamic>. Esta lista de filtro es slo compatible con versiones anteriores a Windows Vista.
10. La lista de filtro All IP Traffic deje tal como est, a la lista de filtro All ICMP Traffic, modifique de tal forma que la accin, tambin, requiera seguridad (Require Security) y el mtodo de autentificacin sea Kerberos. Para esto, seleccione la lista de filtro All ICMP Traffic y Usted haga clic en Edit. Posteriormente en la ventana que aparece,
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 83
ubiquese hacia la pestaa Filter Action de tal forma que quede como la siguiente imagen:
CIBERTEC
CARRERAS PROFESIONALES
84
Finalmente, cierre el Group Policy Management Editor. 13. Ahora configure el equipo cliente. Esta configuracin se har tambin desde el servidor (SERV01). Para ello, en Group Policy Management seleccione el OU ComSeg, despus haga clic derecho y seleccione Create a GPO in this domain, and link it here.
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 85
15. Ahora despliegue el OU ComSeg y edite el GPO creado en el paso anterior. Usted haga clic derecho sobre el GPO ComSeg y elije Edit.
16. Ingrese al Group Policy Management Editor, slo que esta vez las acciones que realicemos aqu, afectarn a los objetos del OU ComSeg. Otra vez, despliegue el nodo Computer Settings, luego despliegue Policies, despus, despliegue Windows Settings, adems, abra Security Settings y finalmente, seleccione IP Security Policies on Active Directory.
CIBERTEC
CARRERAS PROFESIONALES
86
17. Por ltimo, asigne la directiva Server, haga clic derecho y seleccione Assign.
18. Slo como precaucin, en el servidor, ejecute el comando gpupdate para actualizar los cambios.
19. Finalmente, encienda la mquina cliente y conctese al servidor FTP. Verifique que existe conectividad normal, ejecute el sniffer para obtener la siguiente informacin:
Ahora todos los paquetes (que corresponden a FTP, aunque no exclusivamente) estn cifrados con el protocolo ESP, as por ms que intenten interceptar los datos estos sern indescifrables por terceros.
CARRERAS PROFESIONALES CIBERTEC
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 87
3. SUPERVISIN DE IPSEC
3.1 IMPLEMENTACIN DEL MONITOR DE SEGURIDAD IP. Puede usar el complemento Monitor de seguridad IP para ver y supervisar estadsticas relacionadas con IPsec y la directiva IPsec que se aplica al equipo y a otros. Esta informacin puede ayudarle a solucionar problemas de IPsec y a probar las directivas que est creando. Para cambiar las directivas IPsec, use el complemento Directivas de seguridad IP. Para abrir el monitor de seguridad IP se siguen los siguientes pasos: 1. Seleccione Start, luego Usted haga clic sobre Run, en la ventana emergente escribe mmc y presione Enter.
CIBERTEC
CARRERAS PROFESIONALES
88
3. En la ventana Add or Remove sanp-in, busque IP Security Monitor en el panel izquierdo seleccione Add >. Finalmente haga clic en OK.
Ahora tendr disponible el monitor de seguridad IP. En este monitor, se lista por defecto a nuestro servidor que al expandirlo en panel izquierdo nos muestra las directivas activas, de modo principal y de modo rpido. 3.1.1 Directiva Activa (Active Policy)
El elemento Directiva activa del complemento Monitor de seguridad IP describe la directiva del protocolo de seguridad de Internet (IPsec) aplicada a este equipo. No se puede usar el complemento Monitor de seguridad IP para cambiar la directiva. Slo puede haber una directiva IPsec activa al mismo tiempo. La directiva activa es la directiva IPsec aplicada a este equipo, bien de forma manual por el administrador del equipo o bien mediante el uso de servicios de dominio de Active Directory (AD DS) y objetos de directiva de grupo (GPO). La directiva activa puede definirse con objetos de directiva de grupo en lugar de hacerlo en el equipo en el complemento Directivas de seguridad IP. Al visualizar la directiva activa obtenemos la siguiente informacin: Nombre y descripcin: Nombre y descripcin especificados para la directiva en el momento de su creacin. ltima modificacin: Fecha y hora (hora local) en que se cambi la directiva por ltima vez. Almacn: Lugar donde est almacenada la directiva, en el almacn local (en el equipo local) o en un GPO. Ruta: Ruta de comunicacin del protocolo ligero de acceso a directorios (LDAP) de Active Directory que describe la ubicacin completa y exacta en AD DS de la directiva IPsec aplicada a este equipo. nicamente, se aplica a las directivas almacenadas en objetos
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 89
de directiva de grupo de AD DS. Las directivas almacenadas, localmente, no tendrn esta ruta de acceso. Unidad organizativa: Ruta de comunicacin del LDAP que describe la unidad organizativa (OU) completa y exacta de Active Directory donde se aplica la directiva. nicamente, se aplica a las directivas almacenadas en un objeto de directiva de grupo de AD DS. Las directivas almacenadas, de manera local, no tendrn ninguna unidad organizativa. Nombre de objeto de directiva de grupo: No es el nombre de la directiva IPsec. nicamente, se aplica a las directivas almacenadas en objetos de directiva de grupo de AD DS. Las directivas almacenadas, localmente, no tendrn ningn nombre de GPO. La siguiente imagen muestra como se ve la directiva activa en el monitor de seguridad IP.
3.1.2 Supervisin del modo principal (Main Mode) La negociacin de Intercambio de claves por red (IKE) de modo principal establece un canal seguro entre dos equipos, que se denomina asociacin de seguridad (SA) del Protocolo de administracin de claves y asociacin de seguridad Internet (ISAKMP). La SA del ISAKMP se usa para proteger intercambios de clave posteriores entre equipos del mismo nivel, que reciben el nombre de negociaciones de modo rpido. Para establecer el canal seguro, la negociacin de modo principal determina una serie de conjuntos de proteccin de cifrado, intercambia material de creacin de claves para establecer la clave secreta compartida y autenticas identidades de equipo. La supervisin de las SA de modo principal puede proporcionar informacin acerca de los equipos del mismo nivel, actualmente, conectados al equipo, cundo se cre la SA, el conjunto de proteccin que se us para generar la SA y otra informacin. Dentro del modo principal tenemos:
CIBERTEC
CARRERAS PROFESIONALES
90
Los filtros genricos (Generic filters). Los filtros genricos son filtros IP configurados para usar cualquiera de las opciones de direccin IP, ya sea como direccin de origen o como direccin de destino. IPsec permite usar palabras clave en la configuracin de los filtros, como Mi direccin IP, Servidor DNS, Servidor DHCP, Servidores WINS y Puerta de enlace predeterminada. Si se usan palabras clave, los filtros genricos muestran dichas palabras clave en el complemento Monitor de seguridad IP. Los filtros especficos se derivan expandiendo las palabras claves en direcciones IP.
Los filtros especficos (Specific filters): Se expanden a partir de los filtros genricos mediante el uso de direcciones IP del equipo de origen o de destino para la conexin real. Por ejemplo, si dispone de un filtro que usa la opcin Mi direccin IP como direccin de origen y la opcin Servidor DHCP como direccin de destino, cuando se cree una conexin con este filtro, se crear de forma automtica, un filtro que incluya la direccin IP de su equipo y la direccin IP del servidor DHCP que este equipo usa.
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 91
La directiva IKE (IKE Policies): Hace referencia a los mtodos de cifrado o integridad que los dos equipos del mismo nivel pueden negociar en el intercambio de claves de modo principal.
Estadsticas (Statistics): Aqu encontramos las estadsticas disponibles para IPSec, ya sea de conexiones aceptadas, rechazadas, recepciones, etc. La siguiente tabla muestra los tipos de estadsticas para el modo principal:
Descripcin Una adquisicin es una peticin del controlador IPsec para que IKE realice una tarea. La estadstica Adquisicin activa incluye la peticin pendiente y el nmero de peticiones en cola, si existen. Normalmente, el nmero de adquisiciones activas es 1. Cuando la carga de procesamiento es elevada, el nmero de adquisiciones activas es 1 y el nmero de peticiones en espera de procesamiento por parte de IKE aumenta. Nmero de mensajes procesamiento. IKE recibidos y en espera de
Recepcin activa
Nmero de veces que una adquisicin se complet con error. Nmero de veces que la funcin WSARecvFrom() de Windows Sockets se complet con error al recibir mensajes IKE. Nmero de veces que la funcin WSASendTo() de Windows
Errores de envo
CIBERTEC
CARRERAS PROFESIONALES
92
Sockets se complet con error al enviar mensajes IKE. Tamao de montn de adquisicin Nmero de entradas en el montn de adquisicin, que almacena las adquisiciones activas. Este nmero aumenta cuando la carga es elevada y se reduce, gradualmente, con el tiempo, a medida que se va reduciendo el montn de adquisiciones. Nmero de entradas de los bferes de recepcin de los mensajes de IKE entrantes. Nmero total de errores de autenticacin de identidad (Kerberos, certificado y clave, previamente, compartida) producidos durante la negociacin de modo principal. Si tiene dificultades para comunicarse con seguridad, intente establecer la comunicacin y consulte esta estadstica para ver si este nmero aumenta. Si en efecto aumenta, compruebe si en la configuracin de la autenticacin hay algn mtodo que no corresponda o alguna opcin incorrecta (por ejemplo, si se usan claves previamente compartidas que no coinciden). Nmero total de errores de negociacin producidos durante la negociacin de modo principal o de modo rpido. Si tiene dificultades para comunicarse con seguridad, intente establecer la comunicacin y consulte esta estadstica para ver si este nmero aumenta. Si en efecto aumenta, compruebe si en la configuracin de la autenticacin y de los mtodos de seguridad hay algn mtodo de autenticacin que no corresponda, alguna opcin incorrecta (por ejemplo, si se usan claves, previamente, compartidas que no coinciden) u otra falta de correspondencia en los mtodos o las opciones de seguridad. Una cookie es un valor contenido en un mensaje IKE recibido y que IKE usa para averiguar el estado de un modo principal activo. Si una cookie de un mensaje IKE recibido no corresponde a un modo principal activo, se considerar no vlida. Nmero total de peticiones de trabajos que IKE envi al controlador IPsec. Nmero total de peticiones que IKE envi al controlador IPsec para obtener un ndice de parmetros de seguridad (SPI) nico. Nmero de SA de modo rpido salientes que IKE agreg al controlador IPsec. Nmero de SA de modo rpido entrante que IKE agreg al controlador IPsec. Nmero de peticiones con error que IKE envi al controlador IPsec para obtener un SPI nico. Nmero de peticiones con error de adicin de SA de modo rpido salientes que IKE envi al controlador IPsec. Nmero de peticiones con error de adicin de SA de modo rpido entrantes que IKE envi al controlador IPsec. Nmero de entradas de estado de modo principal, includos los modos principales negociados, en curso, y los que produjeron un error y no se eliminaron. Nmero de entradas de estado de modo rpido.
Errores de negociacin
Adquisicin total
Adiciones de claves
Actualizaciones de claves Errores de obtencin de SPI Errores de adicin de claves Errores de actualizacin de claves Tamao de lista ISADB
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 93
Nmero total de SA creadas, de forma correcta, durante las negociaciones de modo principal. Nmero total de SA creadas, correctamente, durante las negociaciones de modo rpido. Normalmente, se crean varias SA de modo rpido por cada SA de modo principal y, por ello, este nmero no tiene que coincidir, necesariamente, con el nmero del modo principal. Nmero total de negociaciones que provocaron el uso de texto simple (o tambin, SA dbiles). Normalmente, este valor refleja el nmero de asociaciones formadas con equipos que no respondieron a los intentos de negociacin de modo principal. Puede tratarse de equipos no compatibles con IPsec o de equipos compatibles con IPsec que no tienen una directiva IPsec para negociar la seguridad con este equipo del mismo nivel. Aunque las SA dbiles no son el resultado de las negociaciones de los modos principal y rpido, se consideran SA de modo rpido. Nmero de mensajes IKE no vlidos recibidos; incluye los mensajes IKE con campos de encabezado no vlidos, longitudes de carga incorrectas y valores errneos para la cookie del receptor (cuando debe ser 0). La causa de que se produzcan mensajes IKE no vlidos es normalmente la retransmisin de mensajes anticuados o la falta de correspondencia de la clave previamente compartida entre los equipos del mismo nivel de IPsec.
Asociaciones dbiles
Asociaciones de seguridad (Security Associations - SA): En esta vista se muestran las SA activas con este equipo. Una SA es la combinacin de una clave negociada, un protocolo de seguridad y el SPI, que de forma conjunta, definen el mtodo de seguridad usado para proteger la comunicacin desde el remitente hasta el receptor. Por lo tanto, si se observan las asociaciones de seguridad del equipo, se pueden determinar los equipos conectados al equipo, el tipo de cifrado e integridad de datos que se est usando para estas conexiones y otra informacin. Esta informacin puede resultar de gran ayuda para probar las directivas IPsec y solucionar problemas de acceso.
CIBERTEC
CARRERAS PROFESIONALES
94
3.1.3 Supervisin del modo rpido La negociacin IKE de modo rpido (o fase 2) establece un canal seguro entre dos equipos para proteger los datos. Como esta fase implica el establecimiento de asociaciones de seguridad (SA) que se negocian en nombre del servicio IPsec, las SA creadas durante el modo rpido se denominan SA de IPsec. Durante el modo rpido, el material de creacin de claves se actualiza o, si es necesario, se generan nuevas claves. Tambin, se seleccione un conjunto de proteccin que resguarda el trfico IP especificado. Un conjunto de proteccin es un conjunto definido de valores de configuracin de integridad de datos o cifrado de datos. El modo rpido no se considera un intercambio completo porque depende de un intercambio de modo principal. Al igual que el modo principal, contiene a los filtros genricos (gneric filters), especficos (specific filters), directivas IKE (IKE policies), estadsticas (statistics) y asociaciones de seguridad (security associations). Sin embargo las estadsticas IKE visualizadas para este modo tienen otros campos, los cuales se resumen en la siguiente tabla:
Estadstica de IPsec Asociaciones de seguridad activas Asociaciones de seguridad descargadas Operaciones de clave Descripcin Nmero de SA de IPsec activas.
Nmero de SA de IPsec activas y descargadas en el hardware. Nmero de operaciones de clave de IPsec en curso.
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 95
pendientes Adiciones de claves Eliminaciones de clave Regeneraciones de claves Nmero total de negociaciones de SA de IPsec correctas. Nmero de eliminaciones de claves de las SA de IPsec. Nmero de operaciones de regeneracin de claves de las SA de IPsec. Nmero de tneles de IPsec activos. Nmero total de paquetes cuyo ndice de parmetros de seguridad (SPI) era incorrecto. El SPI se usa para comprobar la correspondencia de los paquetes entrantes con las SA. Si el SPI no es correcto, puede indicar que la SA entrante expir y que lleg, recientemente, un paquete que usa el SPI antiguo. Con probabilidad, este nmero aumentar si los intervalos de regeneracin de claves son cortos y hay un nmero elevado de SA. Las SA expiran en condiciones normales; por ello, la existencia de paquetes SPI daados no indica, necesariamente, que haya errores en IPsec. Nmero total de paquetes que generaron errores al descifrarse. Estos errores pueden indicar que lleg un paquete para una SA que expir. Si la SA expira, la clave de sesin usada para descifrar el paquete tambin se elimina. Esto no indica que haya errores en IPsec. Nmero total de paquetes cuyos datos no se pudieron comprobar. La causa ms probable de este error es que una SA expir. Nmero total de paquetes que contenan un campo Nmero de secuencia vlido. Nmero total de bytes enviados con el protocolo ESP.
Paquetes con deteccin de reproduccin Bytes confidenciales enviados Bytes confidenciales recibidos Bytes autenticados enviados Bytes autenticados recibidos Bytes de transporte enviados
Nmero total de bytes enviados con el protocolo AH. Nmero total de bytes recibidos con el protocolo AH. Nmero total de bytes enviados con el modo de transporte de IPsec. Nmero total de bytes recibidos con el modo de transporte de IPsec. Nmero total de bytes enviados con el modo de tnel de IPsec. Nmero total de bytes recibidos con el modo de tnel de IPsec. Nmero total de bytes enviados con la descarga de hardware. Nmero total de bytes recibidos con la descarga de hardware.
Bytes enviados en los tneles Bytes recibidos en los tneles Bytes de descarga enviados
CIBERTEC
CARRERAS PROFESIONALES
96
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 97
CIBERTEC
CARRERAS PROFESIONALES
98
Resumen
Internet Protocol Security (IPSec) es un entorno de estndares abiertos para garantizar comunicaciones privadas y seguras a travs de redes Internet Protocol (IP), mediante el uso de servicios de seguridad basados en cifrado. IPSec autentifica los equipos y cifra los datos para su transmisin entre hosts en una red, intranet o extranet, incluidas las comunicaciones entre estaciones de trabajo y servidores, y entre servidores. El objetivo principal de IPSec es brindar seguridad a los paquetes de red. Dependiendo del nivel sobre el que se acte, podemos establecer dos modos bsicos de operacin de IPsec: modo transporte y modo tnel. Una directiva IPSec est formada por un conjunto de filtros acerca del trfico de red que cuando se activan, hacen que los equipos involucrados en la conversacin negocien una autenticacin entre ellos y si esta es exitosa se aplique una accin de filtrado al trfico de red. Existen unas directivas predeterminadas que podemos utilizar sin ninguna configuracin adicional. Client (Cliente): nicamente, aplica regla de respuesta cifrada predeterminada. Server (Servidor): Enva los datos cifrados pero admite la conversacin con clientes que no cifren sus comunicaciones. Este modo es el recomendado si queremos que prime la comunicacin sobre la seguridad. Secure Server (Servidor Seguro): En este caso toda comunicacin ser cifrada y no permitir la comunicacin sin cifrar (excepto el trfico ICMP) Con IPSec podemos cifrar el trfico de red que, comnmente, no posee nivel de cifrado (como el caso de telnet o ftp).
Las directivas IPSec pueden configurarse con GPOs, por tanto las directivas pueden afectar a todos los usuarios que estn dentro de un OU.
Si desea saber ms acerca de este tema, puede consultar la siguiente pgina. http://technet.microsoft.com/es-
S I S TE M AS O P ERA T IVO S LA BO R AT O R IO 99
Puede usar el complemento Monitor de seguridad IP para ver y supervisar estadsticas relacionadas con IPsec y la directiva IPsec que se aplica al equipo y a otros. Esta informacin puede ayudarle a solucionar problemas de IPsec y a probar las directivas que est creando. El elemento Directiva activa del complemento Monitor de seguridad IP describe la directiva del protocolo de seguridad de Internet (IPsec) aplicada al equipo. No se puede usar el complemento Monitor de seguridad IP para cambiar la directiva. La negociacin de Intercambio de claves por red (IKE) de modo principal establece un canal seguro entre dos equipos, que se denomina asociacin de seguridad (SA) del Protocolo de administracin de claves y asociacin de seguridad Internet (ISAKMP). La supervisin de las SA de modo principal puede proporcionar informacin acerca de los equipos del mismo nivel, actualmente, conectados al equipo, cundo se cre la SA, el conjunto de proteccin que se us para generar la SA y otra informacin. La negociacin IKE de modo rpido (o fase 2) establece un canal seguro entre dos equipos para proteger los datos. Como esta fase implica el establecimiento de asociaciones de seguridad (SA) que se negocian en nombre del servicio IPsec, las SA creadas durante el modo rpido se denominan SA de IPsec. El modo rpido no se considera un intercambio completo, porque depende de un intercambio de modo principal.
http://technet.microsoft.com/es-es/library/cc753765(WS.10).aspx http://fferrer.dsic.upv.es/cursos/Windows/Avanzado/ch10s02.html
CIBERTEC
CARRERAS PROFESIONALES
100
UNIDAD DE APRENDIZAJE
4
TEMA
TEMARIO
Implementacin de seguridad con GPOAccelerator Implementacin de Microsoft Baseline security Analyzer Asegurando los Servidores WEB Administracin de Windows Server Update Service
ACTIVIDADES PROPUESTAS
Los alumnos: Crean las lneas base de seguridad en servidores y estaciones. Analizan la configuracin de seguridad del sistema, ven los resultados del anlisis, resuelven discrepancias y configuran el equipo.
CIBERTEC
CARRERAS PROFESIONALES
102
1.3.1 The Enterprise Client (EC) El Cliente de empresa (CE) medio ambiente citados en esta gua se compone de un dominio con AD DS en el que los equipos que ejecutan Windows Server 2008 con Active Directory administrar los equipos cliente que puedan funcionar tanto con Windows Vista o Windows XP, y los servidores miembro que ejecutan Windows Server 2008 o Windows Server 2003 R2. Los controladores de dominio, servidores miembro, y los equipos cliente se manejan en este medio ambiente a travs de directivas de grupo, que se aplica a sitios, dominios y unidades organizativas. Directiva de grupo proporciona una infraestructura centralizada en AD DS que permite el cambio de directorio y la gestin de configuracin de usuario y de equipo, incluidos los datos de seguridad y el usuario. El Grupo de Poltica de esta gua prescribe no es compatible con equipos cliente que ejecutan Windows 2000 1.3.2 Specialized Security Limited Functionality (SSLF) La Seguridad especializada - Funcionalidad limitada (SSLF) de referencia en esta gua se refiere a la demanda para ayudar a crear ambientes altamente seguro para los equipos que ejecutan Windows Server 2008. La preocupacin por la seguridad es tan grande en estos ambientes que una prdida significativa de funcionalidad y capacidad de gestin es aceptable. El Cliente de empresa (EC) de referencia de seguridad ayuda a proporcionar seguridad mejorada que permite suficiente funcionalidad del sistema operativo y las aplicaciones para la mayora de las organizaciones. Precaucin: la configuracin de seguridad SSLF no estn destinados a la mayora de las organizaciones empresariales. Para implementar con xito la configuracin de SSLF, las organizaciones de bien deben probar la configuracin de su entorno para asegurarse de que las configuraciones de seguridad prescritas no limitan la funcionalidad requerida. Si usted decide probar e implementar los ajustes de configuracin SSLF a los servidores en su entorno, los recursos de TI en su organizacin puede experimentar un aumento en el escritorio de las llamadas relacionadas con la funcionalidad limitada que la configuracin de imponer. Aunque la configuracin de este entorno proporciona un mayor nivel de seguridad para los datos y la red, tambin evita algunos servicios de ejecucin que su organizacin pueda requerir. Ejemplos de esto incluyen a Escritorio remoto, que permite a los usuarios conectar de forma interactiva a los escritorios y aplicaciones en equipos remotos. 1.4 LNEA DE COMANDO Y OPCIONES DE GPOACCELERATOR Las opciones que brinda el comando GPOAccelerator pueden ser usadas para implementar GPOs en un ambiente que use Directorio Activo. 1.4.1Opciones para GPOAccelerator
GPOAccelerator es una interface de script que se ejecuta desde una interface de comandos. Si ejecuta GPOAccelerator sin ninguna opcin, la herramienta muestra la siguiente lista de opciones.
1.4.2 Resultados del comando GPOAccelerator La siguiente tabla muestra los resultados que se esperan cuando creas e implementas GPOs y OUs con GPOAccelerator Comandos para implementar la gua de seguridad de Windows Server 2008 Resultado Crea el EC GPOs descrito en la guia de seguridad de Windows Server 2008. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO.
Comando
GPOAccelerator.wsf /Enterprise /WS08
CIBERTEC
CARRERAS PROFESIONALES
104
Crea el SSLF GPOs descrito en la gua de seguridad de Windows Server 2008. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. Crea y enlaza el EC GPOs de acuerdo a la estructura de ejemplo escrita en la gua de seguridad de Windows
Server 2008.
Crea y enlaza el SSLF GPOs de acuerdo a la estructura de ejemplo escrita en la gua de seguridad de Windows Server 2008.
Comandos para implementar la gua de seguridad de Windows Server 2003 Resultado Crea el EC GPOs descrito en la guia de seguridad de Windows Server 2003. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. Crea el SSLF GPOs descrito en la gua de seguridad de Windows Server 2003. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. Crea y enlaza el EC GPOs de acuerdo a la estructura de ejemplo escrita en la gua de seguridad de Windows
Server 2003.
Comando
GPOAccelerator.wsf /Enterprise /WS03
Crea y enlaza el SSLF GPOs de acuerdo a la estructura de ejemplo escrita en la gua de seguridad de Windows Server 2003.
Comandos para implementar la gua de seguridad de Windows7 Resultado Crea el EC GPOs descrito en la guia de seguridad de Windows7. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. Crea el SSLF GPOs descrito en la gua de seguridad de Windows7. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. Crea y enlaza el EC GPOs de acuerdo a la estructura de ejemplo escrita en la gua de seguridad de
Windows7.
Comando
GPOAccelerator.wsf /Enterprise /Win7
GPOAccelerator.wsf /Enterprise /LAB /Win7 GPOAccelerator.wsf /SSLF /Win7 /Desktop GPOAccelerator.wsf /SSLF /Win7 /Laptop
Aplica la configuracin de seguridad de escritorio SSLF a la computadora local basada en Windows 7. Aplica la configuracin de seguridad de laptops SSLF a la computadora local basada en Windows 7.
Comandos para implementar la gua de seguridad de Windows vista Comando Resultados GPOAccelerator.wsf Crea el EC GPOs descrito en la guia de seguridad de /Enterprise /Vista Windows Vista. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO.
Crea el SSLF GPOs descrito en la gua de seguridad de Windows Vista. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. Crea y enlaza el EC GPOs de acuerdo a la estructura de ejemplo escrita en la gua de seguridad de Windows
Vista.
Aplica la configuracin de seguridad de escritorio SSLF a la computadora local basada en Windows Vista. Aplica la configuracin de seguridad de laptops SSLF a la computadora local basada en Windows Vista.
Comandos para implementar la gua de seguridad de Windows XP Resultados Crea el EC GPOs descrito en la gua de seguridad de Windows XP. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. Crea el SSLF GPOs descrito en la gua de seguridad de Windows XP. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. Crea y enlaza el EC GPOs de acuerdo a la estructura de ejemplo escrita en la gua de seguridad de Windows
XP.
Comando
GPOAccelerator.wsf /Enterprise /XP
GPOAccelerator.wsf /Enterprise /LAB /XP GPOAccelerator.wsf /SSLF /XP /Desktop GPOAccelerator.wsf /SSLF /XP /Laptop
Aplica la configuracin de seguridad de escritorio SSLF a la computadora local basada en Windows XP . Aplica la configuracin de seguridad de laptops SSLF a la computadora local basada en Windows X .
Comandos para implementar la gua de seguridad de Internet Explorer 8 Command Results GPOAccelerator.wsf Crea el EC GPOs descrito en la guia de seguridad de /Enterprise /IE8 Internet Explorer 8. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. GPOAccelerator.wsf Crea el SSLF GPOs descrito en la gua de seguridad /SSLF /IE8 de Internet Explorer 8. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. GPOAccelerator.wsf Aplica la configuracin de seguridad SSLF a Internet /SSLF /IE8 Explorer en la computadora local. Comandos para implementar la gua de seguridad de Microsoft Office 2007 Results Crea el EC GPOs descrito en la gua de seguridad de Microsoft Office 2007. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO.
Command
GPOAccelerator.wsf /Enterprise /Office
CIBERTEC
CARRERAS PROFESIONALES
106
Crea el SSLF GPOs descrito en la gua de seguridad de Microsoft Office 2007. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO.
Otros Comandos para implementar, resetear, y restaurar los GPOs Results Cambia la configuracin en la computadora local para que todas las polticas estn visibles en el editor de polticas de grupo. Revierte la configuracin para mostrarla predeterminada en el Editor de directivas de grupo. Si su organizacin ha personalizado la configuracin y ejecuta este comando, las personalizaciones se perdern. Restaura la configuracin por defecto para Windows Vista o Windows XP a sus valores por defecto de la computadora local. Este comando es muy til cuando preparas configuraciones personalizadas. Por ejemplo, despus de ejecutar una prueba de testeo y quizs quieras restaurar la configuracin por defecto y probar una configuracin diferente.
Command
GPOAccelerator.wsf /ConfigSCE
GPOAccelerator.wsf /ResetSCE
1.5 INSTALACIN DE GPOACCELERATOR 1. Inicie sesin como un administrador de dominio para un equipo que ejecuta Windows Server 2008 que est unido al dominio mediante Active Directory en el que podrs crear los GPO. 2. En el equipo, haga clic en Inicio, seleccione Todos los programas y, a continuacin, haga clic en GPOAccelerator. 3. Haga clic en el acceso directo GPOAccelerator para abrir la carpeta de la herramienta de instalacin. 4. Haga doble clic en el archivo GPOAccelerator.exe para iniciar el asistente.
La siguiente figura muestra la pgina de opciones de herramienta en el asistente que se puede utilizar para definir la forma en que desea establecer y desplegar su lnea de base de seguridad. En la pgina Bienvenido, haga clic en Siguiente para acceder a esta pgina.
CIBERTEC
CARRERAS PROFESIONALES
108
La pgina de opciones de herramienta ofrece las siguientes alternativas: Dominio. Utilice esta opcin para aplicar una lnea de base de seguridad y crear objetos de directiva de grupo (GPO) para un entorno basado en el dominio. Esta opcin te ofrece otras alternativas en las pginas siguientes del asistente para ejecutar una combinacin de opciones, tales como / Empresa, / SSLF, y / laboratorio para establecer y probar la seguridad bsica. Tenga en cuenta que debe ser un administrador de dominio para utilizar esta opcin. Local. Utilice esta opcin para aplicar una lnea de base de seguridad y modificar la configuracin de seguridad predeterminada en un equipo cliente. Esta opcin te ofrece otras opciones en las pginas siguientes del asistente para ejecutar el / Desktop / Laptop, y / Restaurar las opciones de lnea de comandos que se definen en las guas de seguridad para Windows XP y Windows Vista. Tenga en cuenta que debe ser un administrador para utilizar esta opcin. Actualizacin de SCE. Utilice esta opcin para actualizar el Editor de configuracin de seguridad (SCE) para mostrar la configuracin de seguridad SMS. Usted puede utilizar esta opcin para ejecutar el / ConfigSCE y / ResetSCE opciones de la lnea de comandos discutidos en las guas de seguridad. Nota: Debe ser un administrador para utilizar esta opcin. 1.6 IMPLEMENTA LAS POLITICAS DE SEGURIDAD Implementa las polticas de seguridad en el ambiente EC para desarrollar esta gua requiere Group Policy Management Console (GPMC). El GPMC
esta integrado en Windows Server 2008, entonces no necesita descargar la consola GPMC. Tareas para la implementacin: 1. Crea el ambiente EC 2. Usa el GPMC para enlazar el WS08 EC Domain Policy al dominio. 3. Usa el GPMC para enlazar el WS08 EC Domain Controllers Baseline Policy al Domain Controllers OU. 4. Usa el GPMC para verificar los resultados. 5. De la misma forma realiza los mismos pasos para configurar la seguridad en cada servidor. 1.6.1 Crea el ambiente EC 1. Clic en Start, despus clic All Programs, y luego clic GPOAccelerator. 2. Clic derecho en el acceso directo GPOAccelerator Command-line, y luego clic derecho en el command prompt Run as administrator para abrirlo con privilegios administrativos. 3. Desde el command prompt, tipea cscript GPOAccelerator.wsf /WS08 /Enterprise /LAB y luego presione enter. 4. Luego clic en Yes para continuar, o No para salir. Nota: Esto puede tomar varios minutos. 5. En la ventana The Enterprise Lab Environment is created, clic OK. 6. En la ventana Make sure to link the Enterprise Domain GPO to your domain, clic OK, y luego complete los siguientes pasos para enlazar la poltica WS08 EC Domain y WS08 EC Domain Controllers. 1.6.2 Usa el GPMC para enlazar el WS08 EC Domain Policy al dominio 1. Clic en Start, despus clic All Programs, luego clic Accessories, y luego clic en Run. 2. En la ventana de texto Open, tipea gpmc.msc y luego clic en OK. 3. Debajo del rbol de Dominios, clic derecho en Domain, y luego clic Link an existing GPO. 4. En la ventana Select GPO, clic en WS08 EC Domain Policy GPO, y luego clic OK. 5. En el panel de detalles, seleccione WS08 EC Domain Policy, y luego clic en el boton Move link to top. 1.6.3 Usa el GPMC para enlazar el WS08 EC Domain Controllers Baseline Policy al Domain Controllers OU 1. Clic en Start, despus clic All Programs, luego clic Accessories, y luego clic en Run. 2. Tipea gpmc.msc y luego clic en OK. 3. Debajo del rbol de Dominios, clic derecho en Domain Controllers OU, y luego clic Link an existing GPO. 4. En la ventana Select GPO, clic en WS08 EC Domain Controller Baseline Policy GPO, y luego clic en Yes. 6. En el panel de detalles, selecciona WS08 EC Domain Controller Baseline Policy, y luego clic en el boton Move link to top.
CIBERTEC
CARRERAS PROFESIONALES
110
1.6.4 Usa el GPMC para verificar los resultados 1. Clic en Start, clic All Programs, clic Accessories, y luego clic en Run. 2. Tipea gpmc.msc y luego clic OK. 3. Clic en el bosque apropiado, clic en Domains, y luego clic en el Dominio. 4. Expanda el OU WS08 Member Servers OU, y luego clic en cada OU hijo. 5. Verifique la estructura y si los enlaces con los GPOs coinciden con la siguiente figura.
Resumen
La herramienta GPOAccelerator permite implementar lneas de seguridad por medio de los GPOs EC y SSLF en servidores y estaciones de trabajo. La seguridad EC se recomienda en todos los ambientes de trabajo, debido a que es la ms flexible con las configuraciones y funcionabilidad de los equipos. La seguridad SSLF se recomienda en ambientes donde la prioridad es la seguridad, pero la funcionabilidad puede ser comprometida. El comando GPOAccelerator.wsf permite implementar las lneas base de seguridad EC y SSLF. El anlisis peridico permite al administrador hacer un seguimiento y comprobar que hay un nivel de seguridad adecuado en cada equipo, como parte de un programa de administracin del riesgo de la empresa. Para ms informacin puede consultar la siguiente pgina: http://technet.microsoft.com/en-us/library/cc264463.aspx
CIBERTEC
CARRERAS PROFESIONALES
112
UNIDAD DE APRENDIZAJE
4
TEMA
7
FUNDAMENTOS DE SEGURIDAD DE RED
LOGRO DE LA UNIDAD DE APRENDIZAJE
Al trmino de la unidad, el alumno ser capaz de identificar las amenazas, vulnerabilidades de seguridad, y tomar medidas de correccin para recuperarse de incidentes de seguridad que se produzca en la organizacin
TEMARIO
Implementacin de seguridad con Security Configuration and Analysis Implementacin de Microsoft Baseline security Analyzer Asegurando los Servidores WEB Administracin de Windows Server Update Service
ACTIVIDADES PROPUESTAS
Los alumnos: Determinan el estado de seguridad de los equipos. Analizan la configuracin de seguridad de los equipos. Generan reportes del estado de seguridad de los equipos en la red.
CIBERTEC
CARRERAS PROFESIONALES
114
3. En la siguiente ventana, acepte las condiciones del contrato de licencia y haga clic en Next.
5. Usted haga clic en Install y espere hasta que la instalacin haya terminado.
1.2 USANDO MICROSOFT BASELINE ANALYZER Su uso se resume, primordialmente, a los siguientes pasos: 1. En el escritorio, has doble clic sobre Microsoft Baseline Security Analizer. 2. Ahora aparecer la ventana principal de Microsoft Security Analyzer.
CIBERTEC
CARRERAS PROFESIONALES
116
3. En la pantalla principal, se presentan 3 opciones: a. Scan a computer: Realiza el escaneo en una sla mquina de la red. b. Scan multiple computers: Realiza el escaneo en varias mquinas de la red. c. View existing security scan reports: Muestra los reportes de escaneos anteriores. 4. Como ejemplo vamos a escanear a una sola mquina (al Domain controller), para ello Usted haga clic sobre Scan a computer, esto abrir la siguiente ventana:
5. En la ventana mostrada, anteriormente, ingrese el nombre la mquina o su direccin IP, el nombre del reporte (se puede generar, automticamente) y lo que se desea escanear. Finalmente, al terminar de escoger las opciones, haga clic en Start scan. 6. El escaneo ha iniciado, lo primero que hace el programa es descargar la informacin de actualizaciones de seguridad desde Microsoft.
7. Al final del escaneo, se muestra el reporte de resumen sobre los problemas de seguridad del equipo.
8. Posteriormente, se puede acceder a este reporte haciendo clic sobre View existing security scan reports.
CIBERTEC
CARRERAS PROFESIONALES
118
Resumen
Microsoft Baseline Security Analyzer (MBSA) determina el estado de instalacin de una actualizacin de software evaluando determinadas claves del Registro, versiones de archivo y sumas de comprobacin de archivos que se asocian a una actualizacin de seguridad determinada. Actualmente, MBSA 2.1.1 es la ltima versin de la herramienta de anlisis gratuita de evaluacin de seguridad y vulnerabilidades de Microsoft para administradores, auditores de seguridad y profesionales de TI. MBSA 2.1.1 aade compatibilidad con Windows 7, Vista, Windows Server 2008, Windows Server 2008 R2. MBSA permite analizar tanto la mquina local, cmo las de red, adems permite el anlisis simultneo de computadores y permite la creacin de registros que apoyan en el anlisis del software. Para ms informacin consulte la siguiente web: http://technet.microsoft.com/es-es/security/cc184924.aspx
CIBERTEC
CARRERAS PROFESIONALES
120
UNIDAD DE APRENDIZAJE
4
TEMA
TEMARIO
Implementacin de seguridad con Security Configuration and Analysis Implementacin de Microsoft Baseline security Analyzer Asegurando los Servidores WEB Administracin de Windows Server Update Service
ACTIVIDADES PROPUESTAS
Los alumnos: Configuran la seguridad en los navegadores. Implementan Servidores WEB seguros.
CIBERTEC
CARRERAS PROFESIONALES
122
sistemas informticos no clasificados, declarando que de 250.000 ataques lanzados en contra del DoD un 65 % fue exitoso. 1.2 SEGURIDAD EN LA RED Cuando un usuario se conecta a un servidor Web se produce un intercambio de informacin entre ambos, es vital garantizar que los datos que recibe el cliente desde el servidor sean los mismos que se estn enviando (esto es, que no sufran modificaciones de terceros) y tambin, garantizar que la informacin que el usuario enva hacia el servidor no sea capturada, por un atacante. Esto es, especialmente, importante si la informacin en trnsito es secreta, como en el caso de las contraseas que el usuario teclea para autenticarse en el servidor, o en el comercio electrnico y el intercambio de nmeros de tarjetas de crdito. 1.3 SEGURIDAD EN EL CLIENTE Por ltimo es necesario garantizar al usuario que lo que descarga de un servidor no va a perjudicar a la seguridad de su equipo. Sin llegar a extremos de applets maliciosos o programas con virus, si simplemente, el navegador del usuario se cuelga al acceder al visitar las pginas de una organizacin, con seguridad, esa persona dejar de visitarlas, con la consecuente prdida de imagen y posiblemente, de un futuro cliente para esa entidad. La proteccin del servidor en cada uno de los aspectos mencionados es responsabilidad del administrador del sistema y si bien no se puede considerar al servidor totalmente seguro, las acciones emprendidas en pos de la seguridad pueden proveer una proteccin suficiente en la mayora de los casos. Para proporcionar una mayor seguridad, IIS 7 no se instala en Windows Server 2008 de forma predeterminada y al instalar IIS 7, el servidor web se configura para proporcionar slo contenido esttico. Este contenido incluye archivos HTML y de imagen. En la lista siguiente, se describen las nuevas caractersticas de seguridad de IIS 7 y se explican, de foma breve, sus ventajas: a) Un nuevo grupo integrado de Windows denominado IIS_IUSRS reemplaza el grupo IIS_WPG local. Una nueva cuenta integrada de Windows denominada IUSRS reemplaza la cuenta local IUSR_Nombre de equipo annima de IIS 6.0. Sin embargo, la cuenta IUSR_nombre de equipo continuar utilizndose para FTP. Estos cambios se combinan para proporcionar cuatro ventajas. b) La capacidad de utilizar una cuenta annima personalizada sin deshabilitar la cuenta annima de IIS. c) El mantenimiento de listas de control de acceso (ACL) coherentes entre varios servidores web utilizando un identificador de seguridad comn (SID).
d) La lista de restricciones de IP se puede configurar para denegar el acceso al contenido en un solo equipo, en un grupo de equipos, en un domino o en todas las direcciones IP y entradas no registradas. De esta forma, adems de proporcionar compatibilidad con la caracterstica de concesin o denegacin de IIS 6.0, se permite la herencia y combinacin de reglas de restriccin de direcciones IP. e) En IIS 7 se incorporan las caractersticas de la herramienta de seguridad UrlScan 2.5 y, por tanto, ya no es necesario descargar una herramienta aparte. f) IIS 7 admite la autorizacin de direcciones URL en cdigo nativo. Para mantener la coherencia, este cambio proporciona compatibilidad con toda la funcionalidad de la implementacin de cdigo administrado de ASP.NET existente. 2. CONFIGURANDO LA SEGURIDAD DE LOS NAVEGADORES A continuacin, se mostrar un ejemplo sobre como configurar las opciones de seguridad para el navegador Internet Explorer. Las zonas de seguridad se configurarn en el servidor por medio de GPO aplicado a los usuarios del OU Contabilidad que deber crearse, previamente, junto al usuario nmartinez.
Pasos 1. Primero hay que deshabilitar Internet Explorer Enhanced Security Configuration (IE ESC) en el servidor. Para esto Seleccione a Start, haga clic sobre Server Manager y haga clic sobre Configure IE ESC.
CIBERTEC
CARRERAS PROFESIONALES
124
2. Deshabilite IE ESC tanto para los usuarios (Users) como para los administradores (Administrators). Para esto, marque off en ambos y haga clic en OK.
3. Seleccione a Start, Administrative Tools, y haga clic en Group Policy Management, se mostrar la siguiente ventana:
4. En el panel izquierdo, usted haga clic derecho sobre el OU Contabilidad y seleccione Create a GPO in this domain, and link it here
5. En la siguiente ventana, ponga el nombre IESec al GPO. Esto enlazar al GPO en el OU de Contabilidad.
CIBERTEC
CARRERAS PROFESIONALES
126
6. Usted haga clic derecho sobre el GPO creado y seleccione Edit en el men contextual.
7. En la ventana Group Policy Management Editor, despliegue User configuration, Policies, Internet Explorer Maintenance y finalmente, seleccione Security.
8. En el panel derecho, has doble clic sobre Security Zones and Content Ratings, esto llamar a la siguiente ventana.
9. En el grupo Security Zones and Privacy, seleccione Import the current security zones and privacy settings. Posteriormente, hacer clic en el botn Continue del cuadro de dilogo, ste nos advierte que la configuracin realizada aqu slo afectar a mquinas que no tengan habilitadas el IE ESC.
10. Haga clic en el botn Modify Settings, esto llamar a la ventana de configuracin de Internet. En esta ventana se configura las opciones de seguridad para Internet que sean necesarias o requeridas. Finalmente, hacer clic en OK en las ventanas Internet properties y Security Zones and Content Ratings una vez terminada la personalizacin.
CIBERTEC
CARRERAS PROFESIONALES
128
11. En Group Policy Management Editor, contraiga Windows Settings y en Policies (dentro de User Configuration) despliegue Administratives Templates: Policy definitions (ADMX files) retrieved from the local machine, luego despliegue Windows Components, Internet Explorer y finalmente, seleccione Internet Control Panel.
12. Ahora, en el panel derecho, establece el estado de las polticas tal como se muestra en la siguiente imagen. Esto se hace para que los usuarios que son afectados por el GPO no puedan realizar cambios en la configuracin de seguridad:
13. Finalmente, cierre las ventanas de Group Policy Management Editor y Group Policy Management . 14. Para probar la configuracin, valdese con el usuario nmartinez en una mquina cliente y vemos el siguiente comportamiento:
CIBERTEC
CARRERAS PROFESIONALES
130
El sistema HTTPS utiliza un cifrado basado en SSL/TLS para crear un canal cifrado (cuyo nivel de cifrado depende del servidor remoto y del navegador utilizado por el cliente) ms apropiado para el trfico de informacin sensible que el protocolo HTTP. De este modo, se consigue que la informacin sensible (usuario y claves de paso, normalmente) no pueda ser usada por un atacante que haya conseguido interceptar la transferencia de datos de la conexin, ya que lo nico que obtendr ser un flujo de datos cifrados que le resultar imposible de descifrar. El puerto estndar para este protocolo es el 443. Para configurar los certificados de seguridad en IIS 7, se siguen tres etapas: solicitar el certificado, instalar el certificado y enlazar el certificado a un Website. 3.1 IMPLEMENTACIN DE CERTIFICADOS EN UN WEB SITE CON IIS 7.0 3.1.1 Solicitar el certificado. Para esta etapa se siguen los siguientes pasos: 1. Seleccione Start, Administrative Tools y por ltimo, haga clic en Internet Information Services (IIS) Manager.
2. Seleccione su servidor en panel izquierdo, luego en el grupo IIS seleccione Server Certificates.
CIBERTEC
CARRERAS PROFESIONALES
132
3. Haga doble clic en Server Certificates. El Internet Information Services (IIS) Manager configure como se muestra en la siguiente imagen.
4. En el panel Actions, haga clic en Create Certificate Request. En la ventana que se despliega, ingrese los datos siguientes: a. Common name: Escribe un nombre para el certificado. Debe ser FQDN. b. Oraganization: Escribe el nombre de la organizacin en la que se utilizar el certificado. c. Organizational unit: Escribe el nombre de la unidad organizativa de la organizacin en la que se utilizar el certificado. d. City/Locality: Escribe el nombre sin abreviar de la ciudad o localidad donde reside su organizacin o unidad organizativa. e. State/Province: Escribe el nombre sin abreviar del estado o provincia donde reside su organizacin o unidad organizativa. f. Country/Region: Escribe el nombre del pas o regin donde reside su organizacin o unidad organizativa. Luego de ingresado los datos, haga clic en Next.
5. En la ventana de Cryptographic Service Provider Properties, seleccione Microsoft RSA SChannel Cryptographic. De forma predeterminada, IIS 7 utiliza Microsoft RSA SChannel Cryptographic Provider. En la lista desplegable Longitud en bits, seleccione una longitud en bits que puede utilizar el proveedor. De forma predeterminada, el proveedor RSA SChannel utiliza una longitud en bits de 1024, el mismo valor ser usado para el ejemplo, luego Usted haga clic en Next.
6. En la pgina File Name, Escribe el nombre Prueba en el cuadro de texto o Usted haga clic en el botn de exploracin (...) para buscar un
CIBERTEC
CARRERAS PROFESIONALES
134
7. Enve la solicitud de certificado a una entidad de certificacin pblica, el archivo se ubica en %systemroot%\System32 si es que slo ha especificado el nombre de archivo en la ventana anterior. La entidad responder con prueba.cer 3.1.2 Instalar el certificado en el Web Site 1. Seleccione a Start, Administrative Tools y finalmente, haga clic en Internet Information Services (IIS) Manager.
2. Seleccione el servidor en el panel izquierdo, luego en el grupo IIS seleccione Server Certificates.
3. Haga doble clic en Server Certificates. La ventana de Internet Information Services (IIS) Manager cambiar a lo que se muestra en la siguiente imagen.
CIBERTEC
CARRERAS PROFESIONALES
136
5. En la ventana anterior, Escribe la ruta de acceso del archivo que contiene la respuesta de la entidad de certificacin o haga clic en el botn de exploracin () para buscar el archivo y poner dicha ruta en el cuadro de texto. Finalmente, escribe el nombre PruebaIIS7 para su certificado y haga clic en OK.
6. Finalmente, el certificado estar instalado para el uso en un Website del IIS (Esto puede verificarlo en Server Certificates).
3.1.3 Enlaza el certificado al Website. Para este ejemplo, utilizaremos el Default Web Site. 1. Seleccione a Start, Administrative Tools y para finalizar, haga clic en Internet Information Services (IIS) Manager. 2. En el panel Connections, seleccione y despliegue el servidor, posteriormente, despliegue Sites y seleccione Default Web Site.
CIBERTEC
CARRERAS PROFESIONALES
138
4. En la ventana anterior, haga clic en Add. Y en la ventana que se despliega seleccione https en el cuadro combinado Type, y en SSL Certificate seleccione el certificado PruebaIIS7 y al finalizar, haga clic en OK.
ingrese
la
direccin
Nota: En algunos casos es necesario, instalar certificados intermedios a fin de identificar a un servidor y evitar el error de certificado no garantizado. Parar estos casos, con cada certificado intermedio, se siguen los siguientes pasos: Descargue el certificado intermedio a una carpeta del servidor. Has doble clic sobre el certificado para poder ver sus propiedades. En la parte baja de la ficha General, haga clic en el botn Install Certificate para iniciar el asistente de importacin de certificados.
CIBERTEC
CARRERAS PROFESIONALES
140
Seleccione Place all certificates in the following store y haga clic en Browse.
- Marque la casilla de verificacin Show physical stores, luego despliegue la carpeta Intermediate Certification Authorities, seleccione la carpeta Local Computer. Clic en OK. Clic en Next, despus, en Finish.
3.2 IMPLEMENTA UN CERTIFICADO AUTOFIMARDO EN IIS 7.0 El uso de los certificados autofirmados para un equipo local es til en los siguientes casos: Para solucionar los problemas relacionados con los certificados de otros fabricantes. Para administrar IIS de manera remota. Para crear un canal privado seguro entre su servidor y un grupo limitado de usuarios conocidos, como es el caso de un entorno de prueba de software. Para probar las caractersticas que dependen de la configuracin de SSL.
3.2.1 Los pasos para implementar un certificado autofirmado son: 1. Seleccione a Start, Administrative Tool, finalmente, haga clic en Internet Information Services (IIS) Manager. 2. Seleccione el servidor en panel izquierdo, luego en el grupo IIS seleccione Server Certificates.
3. Haga doble clic en Server Certificates. El Internet Information Services (IIS) Manager cambiar a lo que se muestra en la siguiente imagen.
CIBERTEC
CARRERAS PROFESIONALES
142
4. En el panel Actions, haga clic en Create Self-Signed Certificiate. En la ventana que se despliega, ingrese un nombre para el certificado. Para el ejemplo, escribe SelfCert como nombre al finalizar, haga clic en OK.
5. El certificado ya estar creado, ahora adjuntelo a un Web Site (por ejemplo a Contoso.com). Para ello, seleccione el Web Site y en el panel Actions, seleccione Bindings. Esto abrir la siguiente ventana.
6. En la ventana anterior, haga clic en Add. Y en la ventana que se despliega, seleccione https en el cuadro combinado Type, y en SSL Certificate seleccione el certificado SelfCert al finalizar, haga clic en OK.
8. Ahora ingrese a la direccin https://www.contoso.com (o el nombre de su Web Site) y vemos que se obtiene lo siguiente.
Lo cual ocurre por tratarse de un certificado que slo se usa con fines de prueba o con redes de pocos usuarios. Simplemente, seleccione Continue to this website para ver la siguiente pantalla.
CIBERTEC
CARRERAS PROFESIONALES
144
Resumen
Durante los ltimos aos los servidores Web se han convertido en una excelente fuente de diversin para piratas: cualquier empresa que se precie, desde las ms pequeas a las grandes multinacionales, tiene una pgina web en las que al menos trata de vender su imagen corporativa. La mayor parte de estos ataques tiene xito gracias a una configuracin incorrecta del servidor o a errores de diseo del mismo. Los certificados forman parte del cifrado de Capa de sockets seguros (SSL). Los certificados de servidor permiten a los usuarios confirmar la identidad de un servidor web antes de transmitir datos confidenciales, como un nmero de tarjeta de crdito. Los certificados de servidor contienen tambin informacin sobre la clave pblica del servidor para que los datos se puedan cifrar y enviar de nuevo al servidor. Para que una pgina sea considerada segura debe hacer uso de HTTPS. Para configurar los certificados de seguridad en IIS 7, se desarrollan tres etapas: solicitar el certificado, instalarlo y enlazarlo a un Website. Slo para fines de prueba y en redes pequeas (slo los usuarios de una intranet requieren seguridad) puede hacer uso de certificados autofirmados.
Si desea saber ms acerca de estos temas, puede consultar las siguientes pginas.
http://technet.microsoft.com/es-es/library/cc731278%28WS.10%29.aspx http://technet.microsoft.com/es-es/library/cc732230%28WS.10%29.aspx
CIBERTEC
CARRERAS PROFESIONALES
146
UNIDAD DE APRENDIZAJE
4
TEMA
TEMARIO
Implementacin de seguridad con Security Configuration and Analysis Implementacin de Microsoft Baseline security Analyzer Asegurando los Servidores WEB Administracin de Windows Server Update Service
ACTIVIDADES PROPUESTAS
Los alumnos: Instalan, configuran, y administran el Servidor WSUS. Aplican actualizaciones de seguridad en los equipos de la red.
CIBERTEC
CARRERAS PROFESIONALES
148
Descargas recomendadas. Los ltimos service packs de Windows y Microsoft Internet Explorer y otras actualizaciones importantes. Herramientas de Windows. Utilidades y otras herramientas qu son brindadas para mejorar el rendimiento y facilitar las actualizaciones.
1.2 QU SON LAS ACTUALIZACIONES AUTOMTICAS? Actualizaciones automticas es una opcin configurable en Windows. Que permite descargar e instalar actualizaciones al sistema operativo sin ninguna intervencin del usuario. Las actualizaciones pueden ser descargadas desde el Web Site Microsoft Update o desde un servidor WSUS. La configuracin de Automatic Updates puede ser controlado, de manera centralizada, por el administrador. 1.2.1 Opciones de actualizaciones automticas Las actualizaciones automticas brindan mayor flexibilidad para decidir cmo y cundo las actualizaciones sern instaladas. Estas opciones son: Automticas. Cuando se conecta a Internet, Windows busca y descarga las actualizaciones en segundo plano: no se le informa ni se le interrumpe durante el proceso y las actualizaciones no interfieren con otras descargas. Si no cambia la programacin predeterminada, las actualizaciones que se hayan descargado en el equipo se instalarn a las 3 a.m. Si el equipo est apagado cuando se haya programado realizar una actualizacin, Windows instalar las actualizaciones la prxima vez que se inicie el equipo. Si necesita ayuda para completar el proceso de instalacin, Windows se lo indicar. Por ejemplo, es posible que tenga que aceptar un contrato de licencia para el usuario final (CLUF) para poder instalar algunas actualizaciones. Si tiene que reiniciar el equipo para que una actualizacin surta efecto, Windows se lo indicar y usted reiniciar el equipo cuando haya programado. Las actualizaciones son descargadas, automticamente, he instaladas Descargar actualizaciones por m, pero permitirme elegir cundo instalarlas. Para recibir alertas, debe ser miembro del grupo Administradores de su equipo. Cuando se conecta a Internet, Windows busca y descarga las actualizaciones en segundo plano: no se le informa ni se le interrumpe durante el proceso y las actualizaciones no interfieren con otras descargas. Una vez completada la descarga, el icono de Windows Update aparece en el rea de notificacin y la alerta se muestra para hacerle saber que las actualizaciones estn listas para ser instaladas. Para revisar e instalar las actualizaciones disponibles, haga clic en el icono o en la alerta. Puede instalar todas las actualizaciones disponibles o slo algunas.
CIBERTEC
CARRERAS PROFESIONALES
150
Notificarme, pero no descargarlas, de forma automtica, ni instalarlas. Para descargar e instalar las actualizaciones usted mismo, debe ser miembro del grupo Administradores de su equipo. Windows comprueba si hay actualizaciones importantes y le informa si hay alguna disponible; las actualizaciones no se descargan ni se instalan en su equipo a menos que usted lo decida. Cuando Windows encuentra actualizaciones para su equipo, el icono de Windows Update aparece en el rea de notificacin y la alerta se muestra para hacerle saber que las actualizaciones estn listas para ser instaladas. Cuando Usted haga clic en el icono o en la alerta, podr seleccionar las actualizaciones que se tienen que descargar. Windows descarga las actualizaciones en segundo plano: no se le informa ni se le interrumpe durante el proceso y las actualizaciones no interfieren con otras descargas. Cuando la descarga ha finalizado, el icono de Windows Update vuelve a aparecer en el rea de notificacin, esta vez para indicarle que las actualizaciones estn listas para ser instaladas. Puede elegir instalar todas las actualizaciones disponibles o slo algunas.
Desactivar actualizaciones automticas. Nunca se le informar cuando haya actualizaciones importantes disponibles para su equipo y no se le pedir que las descargue ni las instale. Esto significa que el equipo puede ser vulnerable a las amenazas de seguridad y los virus peligrosos que puedan daar el equipo o los archivos. Los virus tambin se pueden extender a travs de Internet a otras personas a las que enve correo electrnico, con las que comparta archivos o con las que trabaje en una red. De forma continua, se estn desarrollando nuevos virus y amenazas de seguridad por lo que contribuir a proteger su equipo es un proceso ininterrumpido. Si no activa Actualizaciones automticas, es aconsejable que instale con regularidad las actualizaciones del sitio Web Windows Update (http://www.microsoft.com/).
1.3 QU ES WINDOWS SERVER UPDATE SERVICES? WSUS es un componente opcional para Windows Server 2000 y 2003 que puede ser descargado desde el Web Site de Microsoft. ste acta como punto para distribuir actualizaciones a las estaciones de trabajo y servidores. 1.3.1 Clientes soportados: WSUS Service Pack 1 soportar los siguientes clientes: Windows Vista o superior. Windows Server 2008 o superior. Cualquier edicin de Microsoft Windows 2003. Microsoft Windows XP Professional SP2 o superior. Microsoft Windows 2000 Professional SP4, Windows Server 2000 Server SP4, o Windows 2000 Advanced Server UIT SP4.
1.3.2 Software soportado: WSUS 3.0 Service Pack 1 actualizar todos los productos siguientes: Microsoft Office XP y recientes. Microsoft Data Protection Manager. Windows Defender. Microsoft ISA Server 2004 Microsoft Exchange Server 2000 y recientes. Microsoft Forefront. Windows Small Business Server 2003. Microsoft SQL Server 2000 y recientes. Windows Live. 1.4 COMPONENTE DEL SERVIDOR Instale el componente del servidor de WSUS en un servidor que este ejecutando Windows Server 2003 o Windows Server 2008 dentro del firewall de la empresa. El firewall tiene que estar configurado para permitirle al servidor interno sincronizar el contenido con el Web Site de Microsoft Update cuando existan actualizaciones crticas disponibles para Windows. La sincronizacin puede ser automtica, o el administrador puede realizarla manualmente. Las actualizaciones sincronizadas tienen que ser aprobadas antes de que puedan ser instaladas en las computadoras clientes. Esto permite verificar las actualizaciones con aplicaciones corporativas antes de distribuirlas. ste es un beneficio que brinda WSUS sobre Microsoft Update. 1.5 COMPONENTE DEL CLIENTE Las actualizaciones automticas es el software cliente que descarga e instala las actualizaciones desde el servidor WSUS. El cliente tiene que estar configurado con la ubicacin del servidor WSUS. La ubicacin se puede configurar a travs del regedit o usando Group Policy. Usar Group Policy es lo ms recomendado.
CIBERTEC
CARRERAS PROFESIONALES
152
sea el ms apropiado para t organizacin. Los factores de decisin quizs incluya el nmero de ubicaciones en red vuelve ancho de banda de tu conexin de Internet. 2.1.1 Un solo servidor WSUS (red pequea o sencilla) En un escenario con un solo servidor WSUS, los administradores pueden configurar un servidor que ejecute WSUS dentro de su firewall corporativo, el cual sincroniza el contenido directamente con Microsoft Update y distribuye las actualizaciones entre los equipos cliente, tal y como se muestra en la figura siguiente.
2.1.2 Varios servidores WSUS independientes Los administradores pueden implementar varios servidores configurados de forma que cada uno sea administrado, independientemente, y sincronice su contenido desde Microsoft Update, tal como se muestra en la figura siguiente.
El mtodo de implementacin en este escenario sera apropiado en situaciones en las que los diferentes segmentos de redes de rea local (LAN) o redes de rea extensa (WAN) se administran como entidades separadas (por ejemplo, sucursales). Tambin, sera adecuada cuando un
servidor que ejecuta WSUS se ha configurado para implementar actualizaciones slo en equipos cliente que ejecutan un sistema operativo determinado (como, por ejemplo, Windows 2000), mientras otro servidor se ha configurado para implementar actualizaciones slo en equipos cliente que ejecutan otros sistemas operativos (como, por ejemplo, Windows XP). 2.1.3 Varios servidores WSUS sincronizados internamente Los administradores pueden implementar varios servidores que ejecuten WSUS y que sincronicen todo el contenido de la intranet de la organizacin. En la figura siguiente, slo hay un servidor expuesto a Internet. En esta configuracin, ste es el nico servidor que descarga actualizaciones desde Microsoft Update. Este servidor est establecido como el servidor que precede en la cadena, con cuyo origen se sincroniza el servidor que sigue en la cadena. Si es necesario, los servidores pueden ubicarse a travs de una red, geogrficamente, dispersa para ofrecer la mejor conectividad posible a todos los equipos cliente.
2.1.4 Servidores WSUS desconectados Si la directiva corporativa u otras condiciones limitan el acceso del equipo a Internet, los administradores pueden configurar un servidor interno que ejecute WSUS, tal como se muestra en la figura siguiente. En este ejemplo, se cre un servidor para conectarlo a Internet; sin embargo, ste
CIBERTEC
CARRERAS PROFESIONALES
154
se encuentra aislado de la intranet. Despus que descargar, probar y aprobar las actualizaciones en este servidor, un administrador podra, a continuacin, exportar los metadatos y contenido de las actualizaciones a los medios apropiados. Luego, desde estos medios, el administrador importara los metadatos y contenido de las actualizaciones en los servidores que ejecutan WSUS dentro de la intranet. Aunque la figura siguiente muestra este modelo en su forma ms sencilla, ste podra escalarse a una implementacin de cualquier tamao.
2.2 REQUERIMIENTOS DEL SERVIDOR WSUS 2.2.1 Requerimientos de almacenamiento 1 GB en la particin del sistema. 2 GB para el volumen en donde se almacenan los archivos de la base de datos. 20 GB para el volumen en donde estar almacenado el contenido. 2.2.2 Instalacin en Windows Server 2003 WSUS 3.0 Service Pack 1 no puede ser instalado en Windows 2000 Server. La instalacin en Windows Server 2003 requiere los siguientes prerrequisitos: Internet Information Services. .NET version 2.0 Microsoft Management Console 3.0 Microsoft Report Viewer Microsoft SQL Server 2005 SP1 o superior. 2.2.3 Instalacin en Windows Server 2008 Instale deIIS desde el sistema operativo. Asegrese que los siguientes componentes estn habilitados: Windows Authentication
CARRERAS PROFESIONALES CIBERTEC
Static Content ASP.NET 6.0 Management Compatibility 6.0 IIS Metabase Compatibility
Instale Microsoft Report Viewer, descrguelo desde el Web Site de Microsoft. .NET 2.0 y MMC 3.0 estn instalados como parte del sistema operativo. Microsoft SQL Server 2005 SP2 o superior. 2.3 CONFIGURACIN DE ACTUALIZACIONES AUTOMTICAS La poltica de grupo es la forma ms apropiada de configurar las opciones para actualizaciones automticas. Esto permite una configuracin centralizada y distribuida para todas las computadoras clientes WSUS sin ninguna interaccin del usuario. El administrador puede ejecutar polticas de actualizacin a todas las computadoras desde una ubicacin central. 2.3.1 Actualiza la plantilla administrativa de la poltica de grupo. WSUS habilita varias opciones de actualizaciones automticas que estn disponibles en versiones anteriores de clientes. Como consecuencia, las configuraciones por defecto de la poltica de grupo que estaban incluidas con Windows Server 2003 no van a permitir configurar todas las opciones vigentes de las actualizaciones automticas. 2.3.2 Control administrativo usando poltica de grupo. Las opciones de configuracin que han sido definidas por el administrador usando poltica de grupo siempre sobrescribirn a las opciones definidas por el usuario. Tambin, las opciones de actualizaciones automticas en el panel de control estn deshabitadas en la computadora destino cuando las polticas administrativas han sido configuradas. La configuracin para las actualizaciones automticas est ubicada en Computer Configuration\Administrative Templates\Windows Components\Windows Update.
2.3.3 Configuraciones de actualizaciones automticas usando poltica de grupo. Varias configuraciones de actualizaciones automticas usando poltica de grupo son las siguientes: Especfica la ubicacin de la intranet Microsoft update service. Frecuencia de deteccin para actualizaciones automticas. Permite la instalacin inmediata de las actualizaciones automticas. Permite que los usuarios no administradores reciban notificaciones de actualizacin.
CIBERTEC
CARRERAS PROFESIONALES
156
1.1 CONSOLA DE ADMINISTRACIN DE WINDOWS UPDATE SERVICES La consola de administracin WSUS 3.0 ha sido movida desde la consola basada en Web hacia el MMC 3.0 (Microsoft Management Console). La nueva interfase brinda las siguientes caractersticas: Cada nodo de la pgina principal contiene una vista previa de todas las tareas asociadas con este nodo. Filtro avanzado. Nuevas columnas que te permite organizar las actualizaciones de acuerdo al tipo: nmero MSRC, artculo KB, y estado de la instalacin. Acceso directo a mens, que te permite realizar una accin con el clic derecho. Reporte integrado.
1.2 COMO TRABAJA LA SINCRONIZACIN Los servidores que ejecutan WSUS son actualizados en un proceso llamado sincronizacin. Este proceso compara el software del servidor WSUS con las ltimas actualizaciones liberadas del Web Site Microsoft Update. Los administradores pueden configurar este proceso, automticamente, o de forma manual.
1.2.1 Sincronizacin programada La configuracin por defecto para la sincronizacin programada es manual. Esto significa que el administrador tiene que escoger manualmente descargar las actualizaciones nuevas para el servidor WSUS. ste es apropiado, nicamente, para los servidores WSUS desconectados. Para otros servidores WSUS, la sincronizacin debera ser programada. La programacin diaria permite al servidor WSUS tener las ltimas actualizaciones. Despus de la sincronizacin el administrador an tiene que aprobar las actualizaciones antes que sern distribuidas a los clientes. 1.2.2 Clasificacin de productos y actualizaciones El administrador puede seleccioner productos especficos y clasificar las actualizaciones para limitar la descarga innecesaria. Por defecto, son descargadas las actualizaciones crticas y las actualizaciones de seguridad. 1.2.3 Fuente de actualizacin El administrador puede sincronizar el contenido del servidor WSUS desde el Web Site de Microsoft Update o desde otra instalacin WSUS. La fuente de actualizacin depender de cmo hayas planeado la implementacin de WSUS. Un servidor WSUS independiente sincronizar el contenido desde el Web Site de Microsoft Update, mientras que el servidor WSUS de una oficina sucursal sincronizar su contenido desde el servidor WSUS de la oficina principal. 1.2.4 Idioma de actualizacin El administrador puede indicar las actualizaciones que son descargadas basadas en el idioma de la actualizacin. Esto reduce el uso del ancho de banda para la descargada y reduce el espacio de disco requerido para almacenar las actualizaciones. La configuracin, por defecto, descarga las actualizaciones en todos los idiomas. 1.3 ADMINISTRAR LOS GRUPOS DE COMPUTADORAS Los grupos de computadoras son usados por WSUS para controlar que actualizaciones son aplicadas, y a que computadoras. Esto permite implementar etapas en las actualizaciones y reducir la carga en la red. Por ello, los grupos de computadoras son ideales para testear las actualizaciones en computadoras especficas antes de distribuida las actualizaciones a toda la organizacin. 1.3.1 Computadoras clientes Las computadoras clientes estn listas en la pgina computers de la consola de administracin. Estas computadoras son agregadas, automticamente, a esta pgina despus se contacta con el servidor WSUS. Una computadora nunca es removida, de manera automtica, desde el servidor WSUS. Si reconfigura una computadora para usar otro Servidor
CIBERTEC
CARRERAS PROFESIONALES
158
WSUS, tendr que remover, manualmente, la computadora desde el servidor WSUS original. 1.3.2 Grupos de computadoras por defecto Todas las nuevas computadoras son agregadas, de forma automtica, a los grupos All Computers group y Unassigned Computers Group. El grupo All Computers group brinda una forma conveniente para aplicar actualizaciones a cada computadora usando un servidor WSUS. El grupo Unassigned Computers Group te permite ver que computadoras quizs sean nuevas usando el servidor WSUS y necesiten ser agregadas a un grupo. Despus que las computadoras son agregadas a un grupo creado por el administrador, ellas ya no formarn parte del grupo Unassigned Computers Group. 1.3.3 Agregar computadoras a los grupos de stas Las computadoras pueden ser agregadas manualmente o automticamente a los grupos. Para agregar de forma manual las computadoras a los grupos, se usa la consola WSUS Administration. Para agregar las computadoras automticamente, se debe usar la poltica de grupo Client-side targeting. 1.4 APROBAR ACTUALIZACIONES Despus que las actualizaciones han sido sincronizadas al servidor WSUS, tendrs que aprobarlas para inicializar la implementacin. 1.4.1 Aprobar una actualizacin El administrador puede aprobar la instalacin de una actualizacin, detectar, eliminar, o declinar. Cuando apruebe una actualizacin, especifique la configuracin, por defecto, aprobada en el grupo All Computers group, y algunas configuraciones necesarias por cada grupo de computadora en la ventana aprobar actualizaciones. Sino, pruebe una actualizacin, el estatus de aprobacin se mantiene como no aprobar y el servidor WSUS no va realizar ninguna accin para la actualizacin. La excepcin para esta feria son las actualizaciones crticas y de seguridad, que son aprobadas, automticamente, por defecto. 1.4.2 Deteccin Cuando aprueba una actualizacin para deteccin, la actualizacin no es instalada. En vez, que WSUS verifique si la actualizacin es compatible o necesaria con un grupo de computadoras. Puede especificar la deteccin. La deteccin ocurre en una hora programada. Despus de la deteccin puede ver cmo algunas computadoras no tienen la actualizacin instalada y es necesitada. El nmero requerido para una actualizacin es 0, luego todas las computadoras clientes son actualizadas. 1.4.3 Instalacin La opcin aprobar instalacin ejecuta la actualizacin al grupo de computadoras seleccionedas. En la instalacin por defecto de WSUS, las actualizaciones no son descargadas al servidor WSUS hasta que sean aprobadas para la instalacin.
CARRERAS PROFESIONALES CIBERTEC
Cuando una actualizacin est aprobada para ser instalada, puede configurar un plazo. La fecha especificada en el plazo obliga la instalacin de la actualizacin en las computadoras clientes.
1.4.4 Eliminacin Si una actualizacin causa problemas despus de ser instalada, esta puede ser removida por medio de la eliminacin. sto es, particularmente, importante si has automatizado la instalacin para ciertas clasificaciones de actualizaciones. 1.4.5 Declinar actualizaciones Como administrador puedes declinar cualquier actualizacin que no sea relevante. Una actualizacin declinada es removida de la lista disponible de actualizaciones. 1.4.6 Aprobaciones automticas El proceso para testear y aprobar actualizaciones nuevas puede ser lento en muchas organizaciones. Algunas organizaciones han encontrado un menor riesgo en aplicar actualizaciones crticas y de seguridad, de forma inmediata, antes que esperar que el proceso de testeo haya sido completado. Esto permite que los nuevos virus no tomen ventajas de las fallas. 1.5 USAR REPORTES Los reportes brindan una forma rpida para obtener una vista preliminar de los estados de las actualizaciones, estados de las computadoras, resultados de sincronizacin, y configuracin de WSUS. Tambin, puede imprimir los reportes para mostrarlos en reuniones e incluirlos como los referidos al estado de la red. Puede generar diferentes tipos de reportes desde diferentes lugares en la consola de administracin de WSUS. Los reportes generales en la pgina Reports de la consola. Los reportes de actualizaciones especficas Los reportes de computadoras especficas.
1.5.1 Los tipos de reportes Los reportes ms importantes son: a) b) c) d) e) Resumen de los informes de compatibilidad. los reportes individuales de la computadora. los reportes individuales de actualizaciones. Los reportes de compatibilidad del servidor de descarga. Los reportes de sincronizaciones.
CIBERTEC
CARRERAS PROFESIONALES
160
A travs de WSUS no se brinda una herramienta de backup propia, puede usar la utilidad de backup disponible en todos los servidores que ejecutan Windows Se ver 2003 o Windows Server 2008.
1.6.1 Base de datos de WSUS Cuando se realiza un backup de la base de datos de WSUS, el servicio MSSQL$WSUS deber estar detenido. Si el servicio se est ejecutando durante el backup hay un riesgo que el backup podra ser inconsistente. La base de datos de WSUS contiene la siguiente informacin: Actualizacin de la metadata, incluye informacin acerca de las actualizaciones. La metadata es tambin, el lugar donde se guarda el EULA (la licencia de usuario final). La configuracin del servidor WSUS, e incluir todas las configuraciones del servidor. Estas opciones son especificadas desde la consola WSUS. Informacin acerca de las computadoras clientes, actualizaciones, y la interaccin del cliente con las actualizaciones. Puedes acceder a esta informacin a travs de la consola WSUS cuando es el estado o ejecutas el reporte en el estado de la computadora cliente con el estado de actualizacin.
1.6.2 Directorio de actualizaciones El directorio que contiene todas las actualizaciones que han sido descargadas y almacenadas en el servidor WSUS, por defecto se encuentra en %systemdrive%\WSUS\WSUSContent.
2. En la ventana Select Server Roles, haga clic en Web Server (IIS), luego 2 veces clic en Next.
CIBERTEC
CARRERAS PROFESIONALES
162
3. En la ventana Select Role Services, seleccione Windows Authentication, Static Content, ASP.NET, IIS 6 Metabase Compatibility, haga clic en Next.
4. En la ventana de resumen clic en Install, luego clic en Close. 2.2 INSTALACIN DE REPORT VIEWER
CARRERAS PROFESIONALES CIBERTEC
1. Haga 2 clics en ReportViewer, luego clic en Run. 2. En la ventana Welcome to Microsoft Report Viewer Redistributable 2008 Setup, haga clic en Next.
3. En la ventana End-User License Agreement, seleccione I accept the terms of the License Agreement, luego haga clic en Install.
3 IMPLEMENTACIN DE WSUS
CIBERTEC
CARRERAS PROFESIONALES
164
3.1 INSTALACIN DE WSUS 1. Ejecute WSUS30-KB972455-x86.exe 2. En la ventana Do you want run this file? Usted haga clic en Run.
3. En la ventana Welcome to the Windows Server Update Services 3.0 SP1 Setup Wizard, haga clic en Next.
4. En la ventana Installation Mode Selection, seleccione Full server installation including Administration Console, haga clic en Next.
5. En la ventana License Agreement, seleccione I accept the terms of the License agreement, haga clic en Next.
CIBERTEC
CARRERAS PROFESIONALES
166
6. En la ventana Select Update Source, haga clic en Store updates locally y finalmente clic en Next.
7. En la ventana Database Options, seleccione Install Windows Internal Database on this computer, haga clic en Next.
8. En la ventana Web Site Selection, haga clic en Use the existing IIS Default Web Site (recommended), haga clic en Next.
9. En la ventana Ready to Install Windows server Update Services 3.0 SP1, haga clic en Next
10. En la ventana Completing the Windows Server Update Services 3.0 SP1 Setup Wizard, haga clic en Finish.
CIBERTEC
CARRERAS PROFESIONALES
168
3.2 INSTALACIN DE WSUS 1. Despus de instalar WSUS, aparecer el asistente de configuracin. La primera advertencia que aparece nos pregunta si el servidor firewall esta configurado para permitir que los clientes puedan acceder al servidor.
2. Windows Server 2008 se instala con el firewall activo por defecto, entonces una regla para los puertos de WSUS es que tienen que ser configuradas. Abra el Windows Firewall y encuentre las 2 reglas de WSUS que han sido configuradas para conexiones HTTP y HTTPS. La regla HTTPS no esta habilitada, si quiere usar SSL para WSUS clientes deber habilitarla.
3. En la ventana Choose Upstream Server, seleccione Synchronize from Microsoft Update, haga clic en Next.
CIBERTEC
CARRERAS PROFESIONALES
170
4. En la ventana Choose Languages, seleccione Download updates only in these languages (spanish).
5. En la ventana Choose Products, seleccione los productos que desea actualizar, y haga clic en Next.
6. En la ventana choose Classifications, seleccione Critical Updates, Definition Updates, y Security Updates, despus haga clic en Next.
7. En la ventana Set Sync Schedule, seleccione Synchronize manually, despus haga clic en Next.
CIBERTEC
CARRERAS PROFESIONALES
172
3.3 ADMINISTRACIN DEL SERVIDOR Y CLIENTE WSUS A partir de aqu, ver opciones que quedan para configurar en WSUS as cmo parmetros para administrarlo, y posteriormente, cmo implementar el WSUS con directivas en el Directorio Activo. 3.3.1 Crear el grupo de computadora Finanzas 1. Ejecute la consola de administracin de WSUS. 2. Click derecho sobre All Computers y ah elige Add Computer Group, y escribe Finanzas.
3.3.2
Configurando los clientes WSUS por medio de GPO Lo primero que debes hacer es crear un GPO con el nombre WSUS PC CLients para los clientes WSUS. 1. Dentro del GPO edite Configure Automatic Updates 2. En la ventana Configure Automatic Updates, seleccione Enabled, luego seleccione Auto download and Schedule the
CIBERTEC
CARRERAS PROFESIONALES
174
installation, despus programe la instalacin en Scheduled install day = 0 Every day, y en Scheduled install time = 18:00.
3. Busque y habilite la poltica Specify intranet Microsoft update service location, en Intranet update services e Intranet statics server escribe http://nombre_del_servidor_wsus.
4. Finalmente, debe buscar la poltica Enable client-side targeting, y escribe el nombre del grupo de computadora (Finanzas) al que pertenecer los equipos.
5. Con esto las computadoras, se reportarn al servidor WSUS, lo nico que faltara es aprobar las actualizaciones. 6. Algunas otras opciones: Reschedule Automatic Updates scheduled installations: Es el tiempo que el cliente espera luego del Startup para procesar las instalaciones programadas. No auto-restart for scheduled Automatic Update installation options: Espera a que el sistema sea reiniciado para completar una instalacin programada en vez de reiniciarlo automticamente. Automatic Update detection frequency: Es el nmero total de horas que el cliente va a esperar para chequear el servidor de WSUS por actualizaciones. Allow Automatic Update immediate installation: Define que si el update no requiere reiniciar el equipo ni algn servicio entonces que lo instale inmediatamente. Delay restart for scheduled installations: El tiempo que espera el cliente para reiniciar luego de un reinicio programado.
CIBERTEC
CARRERAS PROFESIONALES
176
Reprompt for restart with scheduled installations: El tiempo que el cliente espera para preguntar por un reinicio programado. Allow non-administrators to receive update notifications: Declara si los usuarios que no son administradores pueden recibir notificaciones de updates o no. Allow signed content from the intranet Microsoft update service location: Habilitamos que se distribuyan updates de terceros, sino es slamente de Microsoft. Remove links and access to Windows Update: Los usuarios que tengan aplicado esto no podrn acceder al sitio de Windows Update. Disable access to Windows Update: Deshabilita el acceso a las funciones de Windows Update de la mquina para que slo se utilice a travs del WSUS. Do not display Install Updates and Shut Down option in Shut Down Windows dialog box: Habilita o deshabilita la opcin de instalar los parches y apagar el equipo en el men de Apagar del cliente. Do not adjust default option to Install Updates and Shut Down in Shut Down Windows dialog box: Si queremos que, por defecto, sea la opcin elegida cuando apagamos el cliente.
Resumen
Antes de instalar WSUS en Windows 2008 Server tiene que instalar IIS y Report Viewer. La instalacin de WSUS requiere 6GB de espacio libre en el disco duro Windows Server Update Service entrega actualizaciones a las computadoras o servidores en la red. WSUS puede actualizar productos de Microsoft como: Office, Data Protection Manager, Windows Defender, Isa Server, Exchange Server, etc. Las actualizaciones tienen que ser aprobadas para estar disponibles a los equipos de la red. El comando gpupdate /force permite actualizar las polticas configuradas en el Servidor WSUS.
Si desea saber ms acerca de estos temas, puede consultar las siguientes pginas. http://technet.microsoft.com/en-us/wsus/default.aspx Aqu hallar informacin adicional sobre WSUS.
6416B Updating your Network Infrastructure and Active Directory Technology Skills to Windows Server 2008. Aqu hallar informacin adicional sobre WSUS.
CIBERTEC
CARRERAS PROFESIONALES
178
UNIDAD DE APRENDIZAJE
5
TEMA
10
TERMINAL SERVER
LOGRO DE LA UNIDAD DE APRENDIZAJE
Al trmino de la unidad, los alumnos, describen los componentes que forman parte de la infraestructura Terminal Server y Terminal Server Web Access.. Implementan la infraestructura Terminal Server y permiten el acceso remoto a las aplicaciones que se ejecutan en el Servidor.
TEMARIO
Concepto de Terminal Server Implementacin de Terminal Server Concepto de Terminal Server Web Access Implementacin de Terminal Server Web Access
ACTIVIDADES PROPUESTAS
Los alumnos: Instalan y configuran el Servidor Terminal Server y Termian Web Acces brindado aplicaciones de forma remota a los clientes de la red. Publican aplicaciones via Web.
CIBERTEC
CARRERAS PROFESIONALES
180
El permiso de control total permite que el usuario pueda realizar modificaciones en el perfil del usuario y del servidor. 2.2 Acceso Usuario El permiso de acceso usuario permite que el usuario pueda realizar modificaciones en el perfil del usuario, pero no en el servidor. 2.2 Acceso Invitado El permiso de acceso invitado permite que el usuario no pueda realizar modificaciones en el perfil del usuario ni en el servidor.
Los usuarios pueden obtener acceso a programas RemoteApp desde un sitio web, a travs de Internet o de una intranet. Para iniciar un programa RemoteApp, basta con hacer clic en su icono. Si un usuario inicia varios programas de RemoteApp mediante Acceso web de TS, y los programas se ejecutan en el mismo servidor de Terminal Server, los programas de RemoteApp se ejecutarn dentro de la misma sesin de Terminal Services. El uso de Acceso web de TS provoca una carga administrativa mucho menor. Permite implementar programas fcilmente desde un lugar centralizado. Por otro lado, los programas se ejecutan en un servidor de Terminal Server y no en el equipo cliente, por lo que su mantenimiento es ms fcil. Acceso web de TS incluye Conexin web a Escritorio remoto, que permite a los usuarios conectarse desde una ubicacin remota al escritorio de cualquier equipo si tienen acceso a Escritorio remoto.
CIBERTEC
CARRERAS PROFESIONALES
182
Acceso web de TS proporciona una solucin que funciona con un mnimo de configuracin. La pgina web de Acceso web de TS incluye un componente web Acceso web de TS, que puede incorporarse en una pgina web personalizada o en un sitio de Windows SharePoint Services.
3.1 INSTALA EL TERMINAL SERVER WEB ACCESS 1. En SRV-NPS-01, clic Start | Server Manager. 2. Seleccione el rol Terminal Services, luego clic derecho en Terminal Services y seleccione Add Role Services. 3. Clic en TS Web Access y luego clic 3 veces en Next. 4. Haga clic en Install y luego clic en Close. 3.2 PUBLICA LAS APLICACIONES REMOTAS PARA TS WEB ACCESS 1. En SRV-NPS-01, ejecute la herramienta administrativa TS RemoteApp Manager.
2. Haga clic en Add RemoteApps, en la ventana Welcome to the RemoteApp Wizard haga clic en Next. 3. Seleccione la aplicacin Calculator y Paint y luego clic en Next.
4. Finalmente clic en Finish. 3.3 ACCEDE A LA PGINA DEL TS WEB ACCESS 1. En SRV-NPS-01, ejecute IE e ingrese a la direccin http://srv-nps-01/ts. 2. En la ventana de autenticacin ingrese el nombre de usuario y contrasea.
CIBERTEC
CARRERAS PROFESIONALES
184
Resumen
Terminal Server permite a los usuarios acceder al escritorio de Windows y sus programas desde cualquier equipo que use el cliente terminal. TS Web Access permite a los usuarios acceder a determinadas aplicaciones que estn instaladas en el Servidor Terminal usando el navegador. Las aplicaciones que brinda TS Web Access a los usuarios deben ser primero publicadas con la herramienta administrativa TS RemoteApp Manager. Terminal Server permite centralizar las aplicaciones en la red. Para controlar el tipo de acceso al Servidor Terminal existen 3 tipos de permisos: control total, acceso de usuario y acceso de invitado. Terminal Server es la solucin ideal para equipos que no puedan instalar aplicaciones basadas en Windows como Linux, MacOSX o Unix.
Si desea saber ms acerca de estos temas, puede consultar las siguientes pginas. http://technet.microsoft.com/es-es/library/cc754746(WS.10).aspx Aqu hallar informacin sobre Terminal Server.
UNIDAD DE APRENDIZAJE
6
TEMA
11
ADMINISTRACIN ACTIVO
AVANZADA
DEL
DIRECTORIO
TEMARIO
Implementar el RODC Implementar Server Core como Servidor de Archivo
ACTIVIDADES PROPUESTAS
Los alumnos: Implementan el Servidor RODC. Registran sus equipos con Vista usando el RODC.
CIBERTEC
CARRERAS PROFESIONALES
186
1. SERVIDOR RODC
Para mejorar el tiempo de respuesta de autentificacin del suelo, en algunas veces es deseable ubicar un controlador predominio en las oficinas sucursales o en las redes que estn en el lmite de nuestro sitio. Las oficinas sucursales o las redes que estn en el lmite de su sitio algunas veces carecen de seguridad. El controlador predominio de su lectura, en ingls Read-Only Domain controller (RODC) est diseado para escenarios donde un controlador predominio necesita ser ubicado en un ambiente con baja seguridad. Un RODC no almacena ninguna contrasea por defecto. Si el RODC est comprometido, la intrusin en la red usando la informacin obtenida desde el RODC es, significativamente, pequea. Debido que las oficinas sucursales algunas veces tienen pocos controles de acceso, RODC puede ser una eleccin ms segura para ubicar un controlador de dominio en las oficinas sucursales.
RODCs almacena copias de informacin de slo lectura del directorio activo usando replicacin unidireccional para el directorio activo del sistema de replicacin de archivo. 1.1 BASE DE DATOS DEL DIRECTORIO ACTIVO DE SLO LECTURA Los controladores de dominio de slo de lectura son ideales para ubicarlos en lugares donde exista un alto riesgo de estar expuestos a ataques externos. Esto, tpicamente, incluye los lmites de la red perimetral, conocida como DMZ, o algn ambiente donde la seguridad es muy baja son los lugares ms adecuados para implementar un RODC. Los servidores de aplicacin, como son Internet Information Services (IIS) y servidores de mensajera como lo es Microsoft Exchange, algunas veces estn ubicados en el lmite de la red perimetral. Las aplicaciones que
ejecuta IIS algunas veces requiere el servicio del directorio para autentificacin, el servidor Exchange siempre requiere del Directorio Activo, pero blindar el acceso de estos servidores a los controladores de escritura representa un riesgo a la seguridad. Los RODCs son ideales para estos escenarios. 1.2 REPLICACIN UNIDIRECCIONAL DEL CONTROLADOR DE DOMINIO DE SLO LECTURA Dado que no se escriben cambios directamente en el RODC y, por lo tanto, no se originan de manera local, no es necesario que los controladores de dominio grabables, que son asociados de replicacin, extraigan los cambios del RODC. Esto significa que cualquier cambio o dao que un usuario malintencionado pueda realizar en las ubicaciones de la sucursal no se puede replicar desde el RODC al resto del bosque.
2. NUEVAS FUNCIONALIDADES
RODC trata algunas problemticas que son comunes de una Branch Office (BO). Puede suceder que las BO no tengan un Domain Controller local, o que lo tengan, pero no cumplan con las condiciones de seguridad necesarias que esto conlleva, adems del ancho de banda necesario, o la propia experiencia y/o conocimientos del personal tcnico. A raz de la problemtica enunciada anteriormente, RODC provee las siguientes caractersticas:
Read-only AD DS Database. Unidirectional replication. Credential Caching. Administrator role separation. Read-only DNS.
2.1 READ-ONLY AD DS DATABASE Exceptuando contraseas, un RODC contiene todos los objetos y atributos que tiene un DC tpico. Sin embargo, por supuesto, no pueden llevarse a cabo cambios que impacten a la base de un RODC. Todo tipo de cambios que se quieran realizar, debern llevarse a cabo en un DC no RODC, y luego impactados va replicacin en la base del RODC. Aquellas aplicaciones que requieran acceso en modo lectura a la base de AD lo tendrn sin problema alguno. Sin embargo, aquellas que requieran acceso de escritura, recibirn un LDAP referral, que apuntar, directamente, a un DC no RODC. 2.2 UNIDIRECTIONAL REPLICATION La replicacin unidireccional de RODC, que aplica tanto para AD DS y DFS, permite que, en caso de que se logre hacer algn cambio con la intencin de modificar la integridad de la base de datos de AD, no se replique al resto de los DCs. Desde el punto de vista administrativo, este tipo de replicacin reduce la sobrecarga de bridgehead servers, y la monitorizacin de dicha replicacin.
CIBERTEC
CARRERAS PROFESIONALES
188
2.3 CREDENTIAL CACHING Por defecto, RODC no almacena credenciales de usuario o computadora, exceptuando por supuesto, la cuenta correspondiente al propio RODC y la cuenta especial krbtgt que cada RODC tiene. Se debe habilitar, explcitamente, el almacenamiento de cualquier otro tipo de credencial. Se debe tener en cuenta que limitar Credential Caching solo a aquellos usuarios que se autentican en el RODC, limita tambin la seguridad de dichas cuentas. Sin embargo, solo dichas cuentas sern vulnerables a posibles ataques. Deshabilitar Credential Caching conlleva a que cualquier solicitud de autenticacin se redireccione a un DC no RODC. Es posible, sin embargo, modificar la Password Replication Policy para permitir que las credenciales de usuarios sean cacheadas en un RODC. 2.4 ADMINISTRATOR ROLE SEPARATION Es posible delegar permisos administrativos, nicamente, para un RODC, limitando la realizacin de tareas administrativas en el RODC, y no en otros DCs. 2.5 READ-ONLY DNS El servicio DNS de un RODC no soporta actualizaciones de clientes directas. Como consecuencia de esto, tampoco registra registros NS de ninguna zona integrada que contenga. Cuando un cliente intenta actualizar su registro DNS contra el RODC, el servidor devuelve un referral, que por supuesto, es utilizado posteriormente por el cliente para actualizar su registro. Sin embargo, el RODC solicita, tambin, la replicacin del registro especfico.
El RODC debe reenviar solicitudes de autenticacin a un DC no RODC que sea Windows Server 2008. La Password Replication Policy se configura en este DC para determinar si las credenciales son replicadas hacia la Branch Office a partir de una solicitud del RODC. El Domain Functional Level debe ser Windows Server 2003 o superior, para que de esta forma est disponible la delegacin de Kerberos. El Forest Functional Level debe ser Windows Server 2003 o superior, para que linked-value replication est disponible. Esto provee mayor consistencia en lo que respecta a replicacin. Se debe ejecutar adprep /rodcprep a nivel forest para actualizar los permisos en todas las DNS application Directory Partitions. Esto posibilita que los RODCs que a su vez son servidores DNS, puedan replicar los permisos sin problemas.
CIBERTEC
CARRERAS PROFESIONALES
190
7. Acepte o modifique el nombre NETBiOS en caso de ser necesario. Luego, seleccione Next.
Level
que corresponda.
Luego,
9. Seleccione las opciones adicionales particulares para el Domain Controller, entre ellos, DNS, Global Catalog, o Read-Only Domain Controller (el cual debe seleccionar). Luego, haga clic en Next.
CIBERTEC
CARRERAS PROFESIONALES
192
10. Acepte o modifique las opciones de configuracin referidas a la ubicacin de la base de datos de Active Directory, logs y SYSVOL. Luego, seleccione Next.
11. Ingrese la contrasea del Administrador correspondiente al Directory Services Restore Mode. Luego, seleccione Next.
12. Seleccione el checkbox Reboot on Completion, y espere a que finalice el proceso de configuracin y se reinicie el sistema operativo.
CIBERTEC
CARRERAS PROFESIONALES
194
Resumen
El RODC es un nuevo controlador de dominio introducido en Windows 2008 Server. El RODC est diseado para su implementacin en sitios donde no se puede garantizar una seguridad total. El RODC puede ser implementado en el Servidor Core. Las contraseas no son almacenadas en el servidor RODC. Las polticas de replicacin de contrasea determina que contraseas pueden ser almacenadas en la cache del RODC. Se pueden delegar permisos administrativos nicamente al RODC, y no a otros DCs
Si desea saber ms acerca de estos temas, puede consultar las siguientes pginas: 6416B Updating your Network Infrastructure and Active Directory Technology Skills to Windows Server 2008. Aqu hallar informacin adicional sobre RODC.
http://www.microsoft.com/downloads/details.aspx?FamilyID=0b2a6fcb-8b78-4677a76c-2446039ab490&displaylang=en En esta pgina, hallar informacin de cmo implementar RODC en las sucursales.
CIBERTEC
CARRERAS PROFESIONALES
196
UNIDAD DE APRENDIZAJE
6
TEMA
12
ADMINISTRACIN ACTIVO
AVANZADA
DEL
DIRECTORIO
TEMARIO
Implementar el RODC Implementar Server Core como Servidor de Archivo
ACTIVIDADES PROPUESTAS
Los alumnos: Configuran el Servidor Core. Implementan el Servidor Core como Servidor de Archivo.
Para instalar y configurar Server Core se debe implementar archivos desatendidos. Server Core brinda la plataforma ms estable, fcil y segura para implementar los siguientes roles de infraestructura de red: Servidor DHCP. Servidor DNS. Servidor de archivo. Controlador de dominio.
CIBERTEC
CARRERAS PROFESIONALES
198
o Especfica una direccin IP. La configuracin de obtener una direccin automtica est configurada, por defecto, pero puedes especficar una direccin esttica. Netsh interface ipv4 set address name=NetCardID source=<IP Address> mask=<subset> gateway=<default gateway> o Si necesita incorporar Windows Server Core a un existente dominio, necesitas una cuenta de usuarios y contrasea que tengan las credenciales adecuadas. Netdom join <computername> /domain:<domainname> /userD:<domain/user> /passwordD:* o Active la instalacin de Windows Server 2008 Slmgr.vbs -ato
3. INCORPORANDO ROLES
La instalacin de Server Core soporta los siguientes roles: Hyper-V IIS 7.0 Servidor DHCP Servidor DNS Servidor de archivo Servicio del Directorio Activo Active Directory Lightweight Directory Services Windows Media Services Servidor d susImpresin
El comando OCSetup distingue la mayscula y la minscula en el nombre de los roles de los paquetes que quieres incorporar. Por ejemplo, DHCP Server, File Server. OCSetup est disponible como parte del sistema operativo Windows Server 2008. Esta herramienta reemplaza a Sysocmgr.exe, est includo en Windows XP y Windows Server 2003.
Puedes ser OCSetup en una computadora que ejecuta Windows Vista o Windows Server 2008 para instalar o reinstalar aplicaciones MSI y componentes. OCSetup necesita ser ejecutado con privilegios administrativos, tambin puede ser usado con archivo desatendido utilizando la opcin /unattend. Para desinstalar componentes, usa OCSetup con la opcin /uninstall. Use OCSetup con Start para agregar roles al Servidor Core. No puedes usar el asistente de instalacin Active Directory Domain Controller de un servidor que ejecuta Server Core. Tendr que usar un archivo desatendido con el comando dcpromo para instalar o desinstalar el rol de controlador de dominio de un Servidor Core. Una vez que la instalacin est completada y el servidor est configurado para ser usado, tambin podrs instalar las caractersticas opcionales. La instalacin de Server Core soporta las siguientes caractersticas: Failover Clustering. WINS. Network Load Balancing. Subsystem for UNIX-based applications. Backup. BitLocker Driver Encryption. Simple Network Management Protocol. Distributed File System Replication. Simple Network Time Protocol.
Para instalar el servicio del Directorio Activo en una instalacin de Server Core de Windows Server 2008 se requiere usar un archivo desatendido con dcpromo. De esta forma se instalar el rol del Directorio Activo y promover el servidor a controlador de dominio usando las configuraciones que estn en el archivo desatendido. Para instalar el rol de Directorio Activo, el smbolo del sistema ejecuta: Dcpromo /unattend:Unattendfile
CIBERTEC
CARRERAS PROFESIONALES
200
Donde: Unattendfile es el nombre del archivo desatendido de dcpromo. 4.1 ARCHIVO DESATENDIDO Debajo hay un ejemplo de un archivo desatendido, usado para crear un segundo controlador de dominio que se replicar en el dominio Contoso.com.
[Unattented]
Unattented=fullunattended
[DCINSTALL] UserName=administrator Password=Pa$$w0rd UserDomain=Contoso DatabasePath=c:\windows\ntds LogPath= c:\windows\ntds SYSVOLPath= c:\windows\sysvol SafeModeAdminPassword=Pa$$w0rd SiteName= Default-First-Site ReplicaOrNewDomain=replica ReplicaDomainDNSName=contoso.com ReplicationSourceDC= RebootOnSuccess=yes
Debajo est la descripcin de todos los campos que forman parte de la seccin DCINSTALL del archivo desatendido. AllowDomainReinstall
AllowDomainControllerReinstall
Yes | No Esta entrada especifica si se seguir instalando este controlador de dominio aunque se detecte una cuenta de controlador de dominio activa que utilice el mismo nombre. Especifique "Yes" (sin comillas) solo si tiene la seguridad de que la cuenta ya no se utiliza.
ApplicationPartitionsToReplicate
Ningn valor predeterminado Esta entrada especifica las particiones de aplicacin que tienen que replicarse, con el formato ""particin1" "particin2"". Si se especifica *, se replicarn todas las particiones de aplicacin. Utilice nombres distintivos separados por espacios en blanco o por comas y espacios en blanco. Escribe toda la cadena entre comillas.
ChildName
Ningn valor predeterminado Es el nombre del dominio subordinado que se anexa a la entrada ParentDomainDNSName. Si el dominio primario es "A.COM" y el dominio subordinado es "B", Escribe "B.A.COM and B" (sin comillas) para ChildName.
ConfirmGc
Yes | No Esta entrada especifica si la rplica es tambin un catlogo global. "Yes" convierte la rplica en un catlogo global si la copia de seguridad era un catlogo global. "No" no convierte la rplica en un catlogo global. (Estas entradas no necesitan comillas.)
CreateDNSDelegation
Yes | No Ningn valor predeterminado Esta entrada indica si se crear una delegacin DNS que has referencia a este nuevo servidor DNS. Esta entrada solo es vlida para DNS integrado con AD DS.
CriticalReplicationOnly
Yes | No Esta entrada especifica si la operacin de instalacin solo realizar la replicacin importante antes de un reinicio, y se saltar la parte no crtica y que puede ser muy larga de la replicacin. La replicacin no crtica se realiza una vez completada la instalacin de funciones y reiniciado el equipo.
DatabasePath
%systemroot%\NTDS Esta entrada es la ruta de acceso del directorio completo no UNC (convencin de nomenclatura universal) en un disco duro del equipo local. Este directorio hospedar la base de datos de AD DS (NTDS.DIT). Si el directorio existe, debe estar vaco. Si no existe, se crear. El espacio libre en disco en la unidad lgica seleccioneda debe ser de 200 megabytes (MB). Para dar cabida a errores de redondeo o a todos los objetos del dominio, quizs el espacio libre en disco deba ser mayor. Para lograr el mximo rendimiento, utilice el directorio de un disco duro dedicado.
DelegatedAdmin
Ningn valor predeterminado Esta entrada especifica el nombre del usuario o del grupo que instalar y administrar el RODC. Si no se especifica ningn valor, solo los miembros del grupo Admins. del dominio o Administradores de organizacin pueden instalar y administrar el RODC.
DNSDelegationPassword
<Contrasea> | * Ningn valor predeterminado Esta entrada especifica la contrasea de la cuenta de usuario utilizada para crear o quitar la delegacin DNS. Especifique * para pedir al usuario que introduzca sus credenciales.
DNSDelegationUserName
Ningn valor predeterminado Esta entrada especifica el nombre de usuario que se utilizar cuando se cree o se quite la delegacin DNS. Si no especifica ningn valor, se utilizarn para la delegacin DNS las credenciales de cuenta que especifique para la instalacin o desinstalacin de AD DS.
CIBERTEC
CARRERAS PROFESIONALES
202
DNSOnNetwork
Yes | No Esta entrada especifica si el servicio DNS est disponible o no en la red. Solo se utiliza cuando el adaptador de red de este equipo no est configurado para utilizar el nombre de un servidor DNS para la resolucin de nombres. Especifique "No" (sin comillas) para indicar que DNS se instalar en este equipo para la resolucin de nombres. De lo contrario, se debe configurar primero el adaptador de red para utilizar el nombre de un servidor DNS.
DomainLevel
0|2|3 Ningn valor predeterminado Esta entrada especifica el nivel funcional del dominio. Esta entrada se basa en los niveles existentes en el bosque cuando se crea un dominio nuevo en un bosque existente. Las descripciones de los valores son las siguientes: o 0 = Modo nativo de Windows 2000 Server o 2 = Windows Server 2003 o 3 = Windows Server 2008
DomainNetbiosName
Ningn valor predeterminado Esta entrada es el nombre NetBIOS utilizado por los clientes anteriores a AD DS para tener acceso al dominio. El valor de DomainNetbiosName debe ser nico en la red.
ForestLevel
0|2|3 Esta entrada especifica el nivel funcional del bosque cuando se crea un dominio nuevo en un nuevo bosque, de la manera siguiente: o 0 = Windows 2000 Server o 2 = Windows Server 2003 o 3 = Windows Server 2008 No debe utilizar esta entrada cuando instale un nuevo controlador de dominio en un bosque existente. La entrada ForestLevel reemplaza la entrada SetForestVersion disponible en Windows Server 2003.
InstallDNS
Yes | No El valor predeterminado cambia dependiendo de la operacin. En el caso de un bosque nuevo, la funcin del servidor DNS se instala de forma predeterminada. Si se trata de un nuevo rbol, un nuevo dominio secundario o una rplica, se instala un servidor DNS de forma predeterminada si el Asistente para instalacin de Servicios de dominio de Active Directory detecta una infraestructura DNS existente. Si el asistente no detecta ninguna infraestructura DNS existente, no se instalar un servidor DNS de forma predeterminada. Esta entrada especifica si DNS est configurado para un nuevo dominio si el Asistente para instalacin de Servicios de dominio de Active Directory detecta que el protocolo de actualizacin dinmica de DNS no est disponible. Esta entrada, tambin, se aplica si el asistente detecta un nmero insuficiente de servidores DNS para un dominio existente.
LogPath
%systemroot%\NTDS Es la ruta de acceso del directorio completo no UNC en un disco duro del equipo local que hospedar los archivos de registro de AD DS. Si el directorio existe, debe estar vaco. Si no existe, se crear.
NewDomain
Tree | Child | Forest "Tree" significa que el nuevo dominio es la raz de un nuevo rbol en un bosque existente. "Child" significa que el nuevo dominio es secundario de un dominio existente. "Forest" significa que el nuevo dominio es el primer dominio de un nuevo bosque de rboles de dominios.
NewDomainDNSName
Ningn valor predeterminado Esta entrada se utiliza en instalaciones "nuevo rbol en bosque existente" o "nuevo bosque". El valor es un nombre de dominio DNS que no se est utilizando actualmente.
ParentDomainDNSName
Ningn valor predeterminado Esta entrada especifica el nombre de un dominio DNS primario existente para una instalacin de dominio secundario.
Password
<Contrasea> | * Ningn valor predeterminado Esta entrada especifica la contrasea correspondiente a la cuenta de usuario utilizada para configurar el controlador de dominio. Especifique * para pedir al usuario que introduzca sus credenciales. Para mayor proteccin, las contraseas se quitan del archivo de respuesta despus de una instalacin. Es necesario volver a definir las contraseas cada vez que se utiliza un archivo de respuesta.
PasswordReplicationAllowed
<Entidad_de_seguridad> | NONE Ningn valor predeterminado Esta entrada especifica los nombres de las cuentas de equipo y de usuario cuyas contraseas se pueden replicar en este RODC. Especifique "NONE" (sin comillas) si desea dejar vaco este valor. De forma predeterminada, no se almacenar en cach ninguna credencial de usuario en este RODC. Para especificar ms de una entidad de seguridad, agregue la entrada varias veces.
PasswordReplicationDenied
<Entidad_de_seguridad> | NONE Esta entrada especifica los nombres de las cuentas de usuario, grupo y equipo cuyas contraseas no se van a replicar en el RODC. Especifique "NONE" (sin comillas) si no desea denegar la replicacin de credenciales para algn usuario o equipo. Para especificar ms de una entidad de seguridad, agregue la entrada varias veces.
RebootOnCompletion
Yes | No
CIBERTEC
CARRERAS PROFESIONALES
204
Esta entrada especifica si se reiniciar o no el equipo despus de instalar o quitar AD DS, independientemente de que la operacin se realice, correctamente, o no.
RebootOnSuccess
Yes | No | NoAndNoPromptEither Esta entrada especifica si se debe reiniciar el equipo despus de haberse instalado o quitado correctamente AD DS. Siempre es necesario un reinicio para completar un cambio en una funcin de AD DS.
ReplicaDomainDNSName
Ningn valor predeterminado Esta entrada especifica el nombre completo del dominio en el que desea configurar un controlador de dominio adicional.
ReplicaOrNewDomain
Replica | ReadOnlyReplica | Domain Esta entrada solo se utiliza para instalaciones nuevas. "Domain" (sin comillas) convierte el servidor en el primer controlador de dominio de un nuevo dominio. "ReadOnlyReplica" (sin comillas) convierte el servidor en un RODC. "Replica" (sin comillas) convierte el servidor en un controlador de dominio adicional.
ReplicationSourceDC
Ningn valor predeterminado Esta entrada especifica el nombre completo del controlador de dominio asociado del que se replicarn los datos de AD DS para crear el nuevo controlador de dominio.
ReplicationSourcePath
Ningn valor predeterminado Esta entrada especifica la ubicacin de los archivos de instalacin utilizados para crear un nuevo controlador de dominio.
SafeModeAdminPassword
<Contrasea> | NONE Ningn valor predeterminado Esta entrada se utiliza para proporcionar la contrasea de la cuenta de administrador sin conexin que se utiliza en el modo de restauracin del servicio de directorio. No puede especificar una contrasea vaca.
SiteName
Default-First-Site-Name Esta entrada especifica el nombre del sitio cuando instala un bosque nuevo. En el caso de un bosque nuevo, el valor predeterminado es Default-First-Site-Name. En todos los dems casos, se seleccioner un sitio utilizando la configuracin actual de sitio y subred del bosque.
SkipAutoConfigDNS
Ningn valor predeterminado Esta entrada va dirigida a usuarios expertos que desean omitir la configuracin automtica de los clientes, reenviadores y sugerencias de raz. Esta entrada solo surte efecto si el servicio Servidor DNS ya est instalado en el servidor. En este caso, recibir un mensaje informativo que confirmar que se ha omitido la configuracin automtica de DNS. De lo contrario, esta entrada se pasa por alto.
Si especifica este modificador, asegrese de que las zonas se crean y configuran correctamente antes de instalar AD DS; de lo contrario, el controlador de dominio no funcionar correctamente. Esta entrada no omite la creacin automtica de la delegacin DNS en la zona DNS principal. Para controlar la creacin de la delegacin DNS, utilice la entrada DNSDelegation.
Syskey
<clave_sistema> | NONE Esta entrada especifica la clave del sistema para el medio desde el cual replica los datos.
SYSVOLPath
%systemroot%\SYSVOL Esta entrada especifica un directorio completo no UNC del disco duro del equipo local. Este directorio hospedar los archivos de registro de AD DS. Si el directorio ya existe, debe estar vaco. Si no existe, se crear. El directorio debe estar en una particin que se haya formateado con el sistema de archivos NTFS 5.0. Coloque el directorio en un disco duro fsico diferente al del sistema operativo para lograr el mximo rendimiento.
TransferIMRoleIfNeeded
Yes | No Esta entrada especifica si se transferir o no la funcin de maestro de infraestructura a este controlador de dominio. Esta entrada es til si el controlador de dominio est hospedado, actualmente, en un servidor de catlogo global y no piensa convertirlo en un servidor de catlogo global. Especifique "Yes" (sin comillas) para transferir la funcin de maestro de infraestructura a este controlador de dominio. Si especifica "Yes", asegrese de especificar la entrada ConfirmGC=No.
UserDomain
Ningn valor predeterminado Esta entrada especifica el nombre de dominio de la cuenta de usuario utilizada para instalar AD DS en un servidor.
UserName
Ningn valor predeterminado Esta entrada especifica el nombre de la cuenta de usuario utilizada para instalar AD DS en un servidor. Se recomienda especificar las credenciales de la cuenta con el formato <dominio>\<nombreDeUsuario>.
AdministratorPassword Ningn valor predeterminado Esta entrada se utiliza para especificar la contrasea del administrador local cuando quita AD DS de un controlador de dominio. DemoteFSMO Yes | No Esta entrada indica si se realizar o no una eliminacin forzada aunque el controlador de dominio ostente la funcin de maestro de operaciones. DNSDelegationPassword <Contrasea> | * Ningn valor predeterminado
CIBERTEC
CARRERAS PROFESIONALES
206
Esta entrada especifica la contrasea de la cuenta de usuario utilizada para crear o quitar la delegacin DNS. Especifique * para pedir al usuario que introduzca sus credenciales.
DNSDelegationUserName Ningn valor predeterminado Esta entrada especifica el nombre de usuario que se utilizar cuando se cree o se quite la delegacin DNS. Si no especifica ningn valor, se utilizarn para la delegacin DNS las credenciales de cuenta que especifique para la instalacin o desinstalacin de AD DS. IgnoreIsLastDcInDomainMismatch Yes | No Esta entrada especifica si se seguir eliminando AD DS del controlador de dominio cuando se especifique la entrada IsLastDCInDomain=Yes o cuando el Asistente para instalacin de Servicios de dominio de Active Directory detecte que hay otro controlador de dominio activo en el dominio. Esta entrada tambin se aplica cuando se especifica la entrada IsLastDCInDomain=No y el asistente no puede ponerse en contacto con ningn otro controlador de dominio del dominio. IgnoreIsLastDNSServerForZone Yes | No Esta entrada especifica si se seguir quitando AD DS aunque el controlador de dominio sea el ltimo servidor DNS para una o ms zonas DNS integradas en AD DS hospedadas por el controlador de dominio. IsLastDCInDomain Yes | No Esta entrada especifica si el controlador de dominio del que quita AD DS es el ltimo del dominio. Password <Contrasea> | * Ningn valor predeterminado Esta entrada especifica la contrasea correspondiente a la cuenta de usuario utilizada para configurar el controlador de dominio. Especifique * para pedir al usuario que introduzca sus credenciales. Para mayor proteccin, las contraseas se quitan del archivo de respuesta despus de instalar AD DS. Es necesario volver a definir las contraseas cada vez que se utiliza un archivo de respuesta. RebootOnCompletion
Yes | No Esta entrada especifica si se reiniciar o no el equipo despus de instalar o quitar AD DS, independientemente de que la operacin se realice correctamente o no.
RebootOnSuccess
Yes | No | NoAndNoPromptEither Determina si se debe reiniciar el equipo despus de haberse instalado o quitado correctamente AD DS. Siempre es necesario un reinicio para completar un cambio en una funcin de AD DS.
RemoveApplicationPartitions
Yes | No Esta entrada especifica si se quitarn las particiones de aplicacin cuando quite AD DS de un dominio de dominio. "Yes" (sin comillas) quita las particiones de aplicacin del controlador de dominio. "No" (sin comillas) no quita las particiones de aplicacin del controlador de dominio. Si el controlador de dominio hospeda la ltima rplica de cualquier particin del directorio de aplicaciones, debe confirmar, manualmente, que debe quitar estas particiones.
RemoveDNSDelegation
Yes | No Esta entrada especifica si se quitarn las delegaciones DNS que sealan a este servidor DNS desde la zona DNS principal.
RetainDCMetadata
Yes | No Esta entrada especifica si los metadatos del controlador de dominio se conservan en el dominio despus de quitar AD DS de forma que un administrador delegado pueda quitar AD DS desde un RODC.
UserDomain
Ningn valor predeterminado Esta entrada especifica el nombre de dominio de la cuenta de usuario utilizada para instalar AD DS.
UserName
Ningn valor predeterminado Esta entrada especifica el nombre de la cuenta de usuario utilizada para instalar AD DS en un servidor. Se recomienda especificar las credenciales de la cuenta con el formato <dominio>\<nombreDeUsuario>.
CIBERTEC
CARRERAS PROFESIONALES
208
4.2 ADMINISTRACIN DEL DIRECTORIO ACTIVO DESDE LA LNEA DE COMANDOS Los siguientes comandos pueden ser usados para administrar el Directorio Activo. CSVDE Importa y exporta datos de Active Directory en formato separado por comas. Dsadd Agrega usuarios, grupos, equipos, contactos y unidades organizativas a Active Directory. Dsmod Modifica un objeto existente de un tipo especfico del directorio. Los tipos de objetos que pueden modificarse son: usuarios, grupos, equipos, servidores, contactos y unidades organizativas. Dsrm Quita objetos del tipo especificado de Active Directory. Dsmove Cambia el nombre de un objeto sin moverlo del rbol de directorio o mueve un objeto desde su ubicacin actual del directorio a una nueva de un mismo y nico controlador de dominio. (Para has movimientos entre dominios, utilice la herramienta Movetree de la lnea de comandos.) Dsquery Consulta y genera una lista de objetos del directorio segn los criterios de bsqueda especificados. Utilcela en un modo genrico para consultar cualquier tipo de objeto o en modo especializado para consultar tipos de objetos seleccionedos. Los tipos de objetos especficos que pueden consultarse mediante este comando son: equipos, contactos, subredes, grupos, unidades organizativas, sitios, servidores y usuarios. Dsget Muestra los atributos seleccionedos de tipos de objeto especficos de Active Directory. Pueden visualizarse los atributos de los siguientes tipos de objeto: equipos, contactos, subredes, grupos, unidades organizativas, servidores, sitios y usuarios. LDIFDE Crea, modifica y elimina objetos de directorio. Esta herramienta tambin puede utilizarse para ampliar el esquema, para exportar informacin de usuario y grupos de Active Directory a otras aplicaciones o servicios, y para llenar Active Directory con datos de otros servicios de directorio.
CIBERTEC
CARRERAS PROFESIONALES
210
14. Tipee netdom renamecomputer WIN-09I3RLW8OCJ /newname:SEA-SRV-03 /userd:contoso\administrator /passwordd:* , y luego presione ENTER. 15. Escribe la contraseaasociada al nombre del usuario del Dominio, Tipee Pa$$w0rd y luego presione ENTER. 16. Tipee y luego presione ENTER. 17. Tipee shutdown /r y presione ENTER. 18. Tipee start /w ocsetup FRS-Infrastructure, y luego presione ENTER. 19. Tipee cls, y luego presione ENTER. 5.3 COMPARTE UN DIRECTORIO LOCAL 1. Tipee md public, y luego presione ENTER. 2. Tipee cd public, y luego presione ENTER. 3. Tipee copy con hello.txt, y luego presione ENTER. 4. Tipee Hello World!, y luego presione ENTER. 5. Presione CTRL+Z, y luego presione ENTER. 6. Tipee cd\, y luego presione ENTER. 7. Tipee net share public=c:\public /remark:Public share on SEASRV-03, y luego presione ENTER. 8. Tipee net view \\SEA-SRV-03, y luego presione ENTER. 9. Tipee cls, y luego presione ENTER. 10. Minimice la ventana C:\Windows\system32\cmd.exe. 5.4 ADMINISTRA USUARIOS REMOTAMENTE CON MMC Nota: Realice los siguientes pasos en SEA-DC-01 1. Inicie sesin como CONTOSO\Administrator con la contrasea Pa$$w0rd. 2. Clic en Start | Run, luego Tipee \\SEA-SRV-03. 3. Presione ENTER. 4. Doble-clic en public. 5. Doble-clic hello. 6. Verifique el texto Hello World!. 7. Ubique el cursor al final de la lnea Hello World! borre World! y Tipee Universe! 8. En el men File, clic en Save. 9. El cuadro de dialogo del Notepad aparece. Nota la advertencia the warning Cannot create the \\SEA-Core\public\hello.txt file. 10. Clic en OK. 12. Clic en Cancel. 13. Clic en Start | Administrative Tools | Computer Management. 14. Se abre la ventana The Computer Management. Maximice la ventana. 15. En el rbol de la consola, clic derecho en Computer Management (Local) y luego clic Connect to another computer. 16. Aparece el cuadro de dialogo Select Computer. Clic en Browse. 17. Ingrese el nombre del servidor core. 18. Clic en OK dos veces. 19. En el rbol de la consola, apunta a Computer Management (SEACARRERAS PROFESIONALES CIBERTEC
Core.contoso.com). 20. En el rbol de la consola, despliegue System Tools | Shared Folders , luego clic Shares. 21. Doble-clic en public. 22. Clic en la pestaa Share Permissions. 23. Clic en Add. 24. Aparece la ventana The Select Users, Computers, or Groups. En el campo Enter the object names to select, Tipee domain. 25. Clic Check Names. 26. Aparece la ventana The Multiple Names Found. Clic Domain Users. 27. Clic OK 2 veces. 28. Clic Domain Users (CONTOSO\Domain Users). 29. Debajo Permissions for Domain Users, seleccione Allow for the Change permission. 30. Clic Apply. 31. Clic en la pestaa Security. 32. Mueve hacia abajo la barra de la lista Group or user names. 33. Clic Edit. 34. Aparece la ventana The Permissions for public (\\SEA-SRV03.CONTOSO.COM). 35. Clic Add. 36. En la ventana Select Users, Computers, or Groups. En la opcin Enter the object names to select, Tipee domain. 37. Clic Check Names. 38. En la ventana The Multiple Names Found. Clic Domain Users. 39. Clic OK 2 veces. 40. Clic Domain Users. 41. Debajo de Permissions for Domain Users, seleccione Allow for the Modify permission. 42. Mueve hacia abajo la barra de la lista Permissions for Domain Users, luego seleccione Allow for the Write permission. 43. Clic OK. 44. En la ventana Security. Clic en Yes. 45. Clic en OK. 46. Cierra Computer Management. 47. Restaura Notepad. 48. En el men File, clic Save. 49. Cierra el Notepad.
CIBERTEC
CARRERAS PROFESIONALES
212
Resumen
El Servidor Core reduce los requerimientos de hardware, e incrementa el rendimiento y la estabilidad del sistema. El Servidor Core no brinda interfaz grfica, solo el smbolo del sistema. Para asignar la contrasea al administrator escribe net user administrator * Para asignar cambios en la direccin IP usa el comando netsh El comando OCSetup permite instalar o desinstalar roles en el Servidor Para instalar el Servicio de Directorio se debe usar, nicamente, el comando dcpromo con un archivo desatendido. Si desea saber ms acerca de estos temas, puede consultar la siguiente pgina.
6416B Updating your Network Infrastructure and Active Directory Technology Skills to Windows Server 2008. Aqu hallar informacin adicional sobre el Servidor Core.
http://technet.microsoft.com/en-us/library/cc753802(WS.10).aspx Aqu hallar mayor informacin tcnica y configuraciones del Servidor Core.